问题描述
我一直在尝试绕过特定用户的shibboleth sso。只有一个用户需要对在Apache反向代理后面运行的应用程序进行密码身份验证。休息一下,所有用户都需要通过SSO登录。
关于shibboleth配置文件的任何修改建议,以绕过单个用户的sso。任何对此的建议,将不胜感激。
解决方法
您是否具有从应用程序内的标头/环境变量构造“应用程序会话”的代码,或者应用程序直接访问Shibboleth设置的标头/环境变量的存在/不存在?
如果您有一个外部应用程序会话,则只需将一些代码部署到不受Shib保护的单独路径中,而是通过其他一些方式(甚至是Apache Basic Auth)即可为应用程序并执行重定向。
如果您直接在应用程序中使用Shibboleth会话信息的存在,那么最好只向IdP询问一个帐户。
无论如何,您都处于构建后门的境地...因此,您必须格外谨慎,不要实施可以以某种方式利用的漏洞,并且坦率地说,StackOverflow不知道您的复杂性很好的应用程序可以提供比一般建议更多的信息。
我想简短的答案是...我认为您不会找到简短的答案。