web-dev-qa-db-ja.com

ADFSでShibbolethを使用しても機能しません

Shibboleth2.5.3とActiveDirectoryフェデレーションサービス(2.0と3.0の両方を試しました)に慣れようとしています。私が達成したいのは、ApacheサーバーにShibbolethをSPとして使用してIdPとしてADFSに対して認証させることです。そのため、Ubuntu VM ApacheとShibbolethを使用し、Windows Server VM ADFSを使用します。

正しく理解できれば、ADFSの証明書利用者の信頼としてShibbolethを追加する必要があります。そのためには、https://shibboleth/Shibboleth.sso/MetadataでShibbolethによって生成されたメタデータが必要です。ただし、Shibbolethがshibboleth2.xml<SSO>タグ(https://winserver.testdomain.com/adfs/services/trust)で指定されているようにADFSからメタデータを取得しようとするため、これは機能しません。 adfs/servicesより下のすべてがHTTP503エラーを返します。他の場所で推奨されているソリューションはどれもそれを修正していないようです(IISの再起動、証明書の操作)。また、503エラーをプロトコル化するログファイルも見つかりません。

私は何が間違っているのですか?おそらく、私は概念を正しく理解していないだけです...

3
Julian B

ここには本当にたくさんの質問があります!

最初のものに対処したいと思います:shibboleth SPメタデータを生成します。

次のツールを使用できます:shib_metagen(Debianではshibboleth-sp2-utilspackageにあります)。

shibboleth2.xmlで、フェデレーションメタデータの場所を指定します。 SPをIdPからダウンロードする場合は、ADFSのドキュメントを確認する必要がありますが、IdP(ADFSサーバー)のxmlメタデータをファイルとして含めることもできます。

Shibboleth2.xmlのSSOタグは、メタデータとは関係ありません。IdPのentityIDが含まれています。メタデータはMetadataProvider要素にあります。

1
473183469

このガイドに従いましたか: AD FS 2.0ステップバイステップガイド:Shibboleth 2とのフェデレーションおよびInCommonフェデレーション

それは古いですが、原則はまだ有効です。

うまくいけば、これはあなたにいくつかの手がかりを与えるでしょう。

2
nzpcmad