日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云SSO 操作指南 集成外部身份 單點登錄 單點登錄示例 Shibboleth與云SSO進行單點登錄的示例

Shibboleth與云SSO進行單點登錄的示例

更新時間:
我的收藏

本文為您提供Shibboleth與云SSO進行單點登錄(SSO登錄)的示例。

準備工作

安裝Shibboleth、Tomcat和LDAP Server。

說明

本文中涉及的Shibboleth配置部分屬于建議,僅用于幫助理解阿里云SSO登錄的端到端配置流程,阿里云不提供Shibboleth配置的咨詢服務。

步驟一:在阿里云獲取SAML服務提供商元數據

  1. 登錄云SSO控制臺

  2. 在左側導航欄,單擊設置。

  3. SSO登錄區域,下載服務提供商(SP)元數據文件,并另存到/opt/shibboleth-idp/metadata/aliyun-cloudsso-metadata.xml

    同時,保存服務提供商(SP)的Entity ID,以便在后續配置中使用。

步驟二:將阿里云注冊到Shibboleth

配置/opt/shibboleth-idp/conf/metadata-providers.xml,指定步驟一:在阿里云獲取SAML服務提供商元數據獲取的元數據文件,將阿里云注冊到Shibboleth。

<!--
    <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="PATH_TO_YOUR_METADATA"/>
-->

<!-- 找到上方注釋代碼,替換為下方代碼 -->

<MetadataProvider id="AliyunMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/aliyun-cloudsso-metadata.xml"/>

步驟三:配置Shibboleth返回的用戶屬性

  1. 修改/opt/shibboleth/conf/services.xml。

    原版使用的是attribute-resolver.xml配置文件,包含的配置信息不夠,需要啟動完整版的配置,將其替換為attribute-resolver-full.xml。

    <value>%{idp.home}/conf/attribute-resolver.xml</value>
<!-- 找到上方代碼,替換為下方代碼 -->
<value>%{idp.home}/conf/attribute-resolver-full.xml</value>

  2. 修改/opt/shibboleth/conf/attribute-resolver-full.xml。

    1. 在該文件中配置用戶信息中返回的屬性。本示例中選擇mail字段作為返回屬性。

      <!-- ========================================== -->
<!--      Attribute Definitions                 -->
<!-- ========================================== -->

<!-- Schema: Core schema attributes-->

<!-- 找到上方注釋代碼,在后面加入下方代碼 -->

<AttributeDefinition xsi:type="Simple" id="mail">
    <InputDataConnector ref="myLDAP" attributeNames="mail" />
    <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" />
</AttributeDefinition>

    2. 在該文件中讀取/opt/shibboleth/conf/ldap.properties中配置的信息,進行IDAP連接的創建。

      <!-- Example LDAP Connector -->
<!--
	<DataConnector id="myLDAP" xsi:type="LDAPDirectory"
		ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}"
		baseDN="%{idp.attribute.resolver.LDAP.baseDN}"
		principal="%{idp.attribute.resolver.LDAP.bindDN}"
		principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}"
		useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}"
		...省略...
	</DataConnector>
-->

<!-- 找到上方示例代碼,將其替換為下方代碼 -->

<DataConnector id="myLDAP" xsi:type="LDAPDirectory"
			   ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}"
			   baseDN="%{idp.attribute.resolver.LDAP.baseDN}"
			   principal="%{idp.attribute.resolver.LDAP.bindDN}"
			   principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}"
			   useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS}"
			   connectTimeout="%{idp.attribute.resolver.LDAP.connectTimeout}"
			   responseTimeout="%{idp.attribute.resolver.LDAP.responseTimeout}">
	<FilterTemplate>
		<![CDATA[
				%{idp.attribute.resolver.LDAP.searchFilter}
			]]>
	</FilterTemplate>
</DataConnector>

  3. 修改/opt/shibboleth/conf/attribute-filter.xml,添加屬性過濾器。

    PolicyRequirementRule標簽中的value屬性替換為步驟一:在阿里云獲取SAML服務提供商元數據中的阿里云entityID。

    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
							xmlns="urn:mace:shibboleth:2.0:afp"
							xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
							xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
	
<!-- 找到上方代碼,在后面加入下方代碼 -->
	
<AttributeFilterPolicy id="aliyun">
	<PolicyRequirementRule xsi:type="Requester" value="[entityID]" />
	<AttributeRule attributeID="mail">
		<PermitValueRule xsi:type="ANY" />
	</AttributeRule>
</AttributeFilterPolicy>

步驟四:配置SAML響應的NameID

  1. 修改/opt/shibboleth/conf/relying-party.xml,為阿里云建立NameID的配置。

    bean標簽中的relyingPartyIds屬性替換為步驟一:在阿里云獲取SAML服務提供商元數據中的阿里云entityID。

    <!--
	Override example that identifies a single RP by name and configures it
	for SAML 2 SSO without encryption. This is a common "vendor" scenario.
-->
<!--
<bean parent="RelyingPartyByName" c:relyingPartyIds="https://sp.example.org">
	<property name="profileConfigurations">
		<list>
			<bean parent="SAML2.SSO" p:encryptAssertions="false" />
		</list>
	</property>
</bean>
-->

<!-- 找到上方注釋代碼,替換為下方代碼 -->

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityID]">
    <property name="profileConfigurations">
        <list>
            <bean parent="SAML2.SSO" p:encryptAssertions="false" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
        </list>
    </property>
</bean>

  2. 修改/opt/shibboleth/conf/saml-nameid.xml,配置NameID的生成方式。

    <!-- 找到下方兩處代碼,將其注釋取消,使之生效 -->

<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
    p:omitQualifiers="true"
    p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
    p:attributeSourceIds="#{ {'mail'} }" />

<bean parent="shibboleth.SAML1AttributeSourcedGenerator"
    p:omitQualifiers="true"
    p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
    p:attributeSourceIds="#{ {'mail'} }" />

  3. 修改/opt/shibboleth/conf/saml-nameid.properties,配置NameID的相關屬性。

    idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
idp.persistentId.useUnfilteredAttributes = true
idp.persistentId.encoding = BASE32

步驟五:在Shibboleth獲取SAML IdP元數據

  1. 重啟Tomcat,使前面的配置生效。

  2. 訪問https://<您的服務器地址>/idp/shibboleth,將元數據文件保存到本地。

步驟六:在云SSO啟用SSO登錄

  1. 在云SSO的左側導航欄,單擊設置。

  2. SSO登錄區域,單擊配置身份提供商信息。

  3. 配置身份提供商信息對話框,選擇上傳元數據文檔。

  4. 單擊上傳文件,上傳從步驟五:在Shibboleth獲取SAML IdP元數據獲取的IdP元數據文件。

  5. 打開SSO登錄開關,啟用SSO登錄。

    說明

    啟用SSO登錄后,用戶名和密碼登錄將自動禁用,即云SSO用戶將不能通過用戶名和密碼登錄。而且,SSO登錄是一個全局功能,啟用后,所有用戶都需要SSO登錄。

步驟七:在云SSO創建用戶

在云SSO創建與Shibboleth中的同名用戶。

  1. 在云SSO的左側導航欄,選擇人員管理 > 用戶。

  2. 用戶頁面,單擊創建用戶。

  3. 創建用戶面板,輸入用戶名。

    本示例中,用戶名為testUser@testdomain.alicloud.com。

  4. 設置用戶狀態為已啟用。

  5. 單擊關閉。

(可選)步驟八:為用戶授權

如果您計劃用戶SSO登錄后訪問資源目錄指定成員賬號中的指定資源,您還需要創建訪問配置,并為用戶在RD賬號上授權。

  1. 在云SSO創建訪問配置,定義權限策略。

    具體操作,請參見創建訪問配置。

  2. 為用戶在RD賬號上授權。

    具體操作,請參見在RD賬號上授權。

驗證結果

完成上述配置后,您可以從阿里云或Shibboleth發起SSO登錄。

  • 從阿里云側發起登錄

    1. 云SSO控制臺概覽頁,復制用戶登錄地址。

    2. 使用新的瀏覽器打開復制的用戶登錄地址。

    3. 單擊跳轉,系統會自動跳轉到Shibboleth的登錄頁面。云SSO登錄跳轉

    4. 在Shibboleth的登錄界面,輸入用戶名(testUser)和密碼,單擊登錄。

      系統將自動SSO登錄并重定向到云SSO用戶門戶。

    5. 訪問RD賬號中有權限的資源。

  • 從Shibboleth側發起登錄

    1. 訪問https://<您的服務器地址>/idp/profile/SAML2/Unsolicited/SSO?providerId=<entityID>

      該鏈接中的<entityID>步驟一:在阿里云獲取SAML服務提供商元數據中的阿里云entityID。

    2. 在Shibboleth的登錄界面,輸入用戶名(testUser)和密碼,單擊登錄

      系統將自動SSO登錄并重定向到云SSO用戶門戶。

    3. 訪問RD賬號中有權限的資源。

常見問題

結果驗證時如果遇到問題,您可以查看/opt/shibboleth-idp/logs/idp-process.log,通過日志分析問題原因。常見問題如下:

Shibboleth用戶名密碼正確,但是登錄后提示異常。

查看/opt/shibboleth-idp/logs/idp-process.log中的報錯信息,如果是與ValidateUsernamePassword錯誤有關,則重點檢查IDAP的連接配置和部署情況,重點查看是否將注釋去除,且不能輸入多余空格。

登錄后無響應,提示unable to connect to the ldap。

檢查ldap.propertiesattribute-resolver-full.xml文件中IDAP連接的相關配置。

登錄后轉跳阿里云,提示The NameID is missing。

檢查步驟三:配置Shibboleth返回的用戶屬性中是否正確將用戶信息中的mail映射為屬性,檢查步驟四:配置SAML響應的NameIDNameID配置是否正確。

訪問https://<您的服務器地址>/idp/profile/SAML2/Unsolicited/SSO?providerId=<entityID>時提示Unsupported Request。

檢查entityId是否配置正確。metadata文件夾下的元數據、attribute-filter.xmlrelying-party.xml三處中的entityId必須保持一致。

登錄后轉跳阿里云,提示The response signature is invalid

重新將Shibboleth的元數據文件上傳到阿里云。