Comment shibboliser un site Web

Question

J'ai une application qui utilise des adresses électroniques pour l'authentification de l'utilisateur. Je sais que certaines universités utilisent Shibboleth pour l'authentification des utilisateurs, et je me demandais quel est le processus pour pouvoir lire les courriels provenant de la base de données universitaire utilisée pour Shibboleth. Notez que je ne me soucie pas de l'authentification par Shibboleth, je seulement besoin de pouvoir lire les adresses e-mail.

Est-ce général pour toutes les universités qui utilisent Shibboleth ou est-ce un cas unique?

Tous les liens vers la documentation sur la façon de faire ce processus seraient grandement appréciés. Je vous remercie.

Answer 1

Shibboleth est utilisé par de nombreux établissements, mais pas tous. Beaucoup utilisent Athènes, les procurations ou la reconnaissance IP, entre autres choses. Pour autant que je sache, l'adresse électronique d'un utilisateur n'est pas liée directement au système Shib. Lorsqu'un utilisateur tente d'accéder à une ressource protégée par Shibboleth, il est redirigé vers la page de connexion de son établissement pour s'authentifier. Ils peuvent entrer leur adresse e-mail pour s'authentifier ou entrer un nom d'utilisateur, ils peuvent être connectés automatiquement en fonction de leur adresse IP, ou autre chose.

L'établissement renvoie une affiliation via le transfert de données Shib lors de la connexion réussie, quelque chose comme student@brown.ac.uk mais ce n'est pas nécessairement l'adresse e-mail que l'utilisateur a utilisé pour se connecter. Je suppose qu'ils pourraient envoyer ça mais ça n'a pas été utilisé dans le système sur lequel j'ai travaillé. Shibboleth est couramment utilisé pour vérifier que l'utilisateur provient d'une institution qui a acheté l'accès à une ressource protégée plutôt que d'identifier un utilisateur particulier de cette institution, de sorte que l'e-mail de l'utilisateur n'est pas nécessaire.

Je ne sais pas si cela aide à tous: http://middleware.internet2.edu/eduperson/docs/internet2-mace-dir-eduperson-200806.html#eduPersonAffiliation

Answer 2

Shibboleth peut être configuré (IdP côté) pour libérer les attributs utilisateur ainsi que des données d'authentification, par exemple l'adresse e-mail de l'utilisateur. Côté client, en supposant que vous allez bien shibd, vous aurez besoin d'un paramètre dans votre attribute-map.xml qui dit "attribut de carte avec OID x.y.z.a à la variable d'environnement USERMAIL" et vous obtenez le résultat dans cette variable d'environnement. L'exemple de configuration devrait déjà le contenir. Il en serait de même pour tout le monde dans la mesure où l'OID pour "email" est toujours le même, mais vous devrez négocier avec les IdPs (universités) ou leurs fédérations pour qu'ils vous divulguent cet attribut. .