Shibboleth2.5.3とActiveDirectoryフェデレーションサービス(2.0と3.0の両方を試しました)に慣れようとしています。私が達成したいのは、ApacheサーバーにShibbolethをSPとして使用してIdPとしてADFSに対して認証させることです。そのため、Ubuntu VM ApacheとShibbolethを使用し、Windows Server VM ADFSを使用します。
正しく理解できれば、ADFSの証明書利用者の信頼としてShibbolethを追加する必要があります。そのためには、https://shibboleth/Shibboleth.sso/Metadata
でShibbolethによって生成されたメタデータが必要です。ただし、Shibbolethがshibboleth2.xml
<SSO>
タグ(https://winserver.testdomain.com/adfs/services/trust
)で指定されているようにADFSからメタデータを取得しようとするため、これは機能しません。 adfs/services
より下のすべてがHTTP503エラーを返します。他の場所で推奨されているソリューションはどれもそれを修正していないようです(IISの再起動、証明書の操作)。また、503エラーをプロトコル化するログファイルも見つかりません。
私は何が間違っているのですか?おそらく、私は概念を正しく理解していないだけです...
ここには本当にたくさんの質問があります!
最初のものに対処したいと思います:shibboleth SPメタデータを生成します。
次のツールを使用できます:shib_metagen
(Debianではshibboleth-sp2-utils
packageにあります)。
shibboleth2.xml
で、フェデレーションメタデータの場所を指定します。 SPをIdPからダウンロードする場合は、ADFSのドキュメントを確認する必要がありますが、IdP(ADFSサーバー)のxmlメタデータをファイルとして含めることもできます。
Shibboleth2.xmlのSSO
タグは、メタデータとは関係ありません。IdPのentityID
が含まれています。メタデータはMetadataProvider
要素にあります。
このガイドに従いましたか: AD FS 2.0ステップバイステップガイド:Shibboleth 2とのフェデレーションおよびInCommonフェデレーション ?
それは古いですが、原則はまだ有効です。
うまくいけば、これはあなたにいくつかの手がかりを与えるでしょう。