1. Accueil
  2. Question et réponse
  3. Est-ce que Shibboleth SP peut être configuré pour utiliser plusieurs IdP pour un seul site Web?

Est-ce que Shibboleth SP peut être configuré pour utiliser plusieurs IdP pour un seul site Web?

2016-10-07 3 views
1

J'ai un site Web ASP.NET fonctionnant sous IIS 8 sous Windows Server 2012. Le site Web est un site unique - par exemple www.example.com - utilisé par différentes sociétés. Chaque entreprise a plusieurs utilisateurs sur le site.Est-ce que Shibboleth SP peut être configuré pour utiliser plusieurs IdP pour un seul site Web?

Actuellement, nous demandons à chaque utilisateur sur le site de créer un compte sur le site Web et c'est ainsi qu'ils s'authentifient.

Certaines entreprises souhaitent cependant que leurs utilisateurs s'authentifient via Shibboleth. J'ai installé Shibboleth SP sur Windows par le passé, mais d'après ce que je peux dire, il est conçu pour qu'il y ait un seul IdP Shibboleth pour l'ensemble du site. Dans ce cas, nous aurions besoin d'avoir, disons, les utilisateurs A et B s'authentifier avec un IdP Shibboleth tandis que les utilisateurs X, Y et Z doivent utiliser un IdP différent de Shibboleth.

Cette configuration est-elle possible pour Shibboleth SP sous Windows? Y a-t-il de bons exemples/solutions explorant ce scénario en particulier?

Source

2016-10-07 Scott Mitchell

Répondre

0

Shibboleth Service Provider est parfaitement capable de gérer les utilisateurs de plusieurs fournisseurs d'identité. Un cas d'utilisation plutôt normal est que de nombreux fournisseurs d'identité et de nombreux fournisseurs de services participent à une fédération d'identités SAML 2.0 qui permet aux fournisseurs de services de faire confiance et d'authentifier tous les utilisateurs provenant de tous les fournisseurs d'identité participants.

Pour votre cas d'utilisation, vous devez

  1. établir la confiance

    • Obtenir les métadonnées de tous les fournisseurs d'identité que vous voulez établir la confiance.
    • Pour chacun, vous devez définir une ligne dans votre fichier de configuration (shibboleth2.xml) comme suit <MetadataProvider type="XML" file="idpX-metadata.xml"/>

Cela permettrait à votre fournisseur de services pour permettre l'authentification unique avec tous les fournisseurs d'identité vous nom Là.

  1. Permet aux utilisateurs de sélectionner le fournisseur d'identité (société) auquel ils sont affiliés. Cela peut être assez simple si vous utilisez fournisseur de services Shibboleth que vous pouvez utiliser le service de découverte intégré (voir here)

  2. différencier correctement entre les utilisateurs provenant de différentes entreprises (pour des raisons d'autorisation) en fonction de chaque scope attributs dans la déclaration d'attribut ou EntityID du fournisseur d'identité (émetteur du assertion SAML)

le Shibboleth SP wiki aurait toutes les informations nécessaires. De plus, vous pouvez consulter les guides d'installation/de configuration SP comme this ou this. Ils supposent qu'ils participent à une fédération d'identités, mais pour votre cas d'utilisation, la seule différence est qu'ils disposeraient d'un seul fichier de métadonnées (les métadonnées de fédération) dans lequel vous disposerez d'un fichier de métadonnées pour chaque fournisseur d'identité.

Source

2016-10-17 13:28:34

 Questions connexes

  • Aucun problème connexe^_^