Shibboleth + IIS и фунт обратного прокси
Возникла небольшая проблема при работе Shibboleth (SSO) с ADFS и Pound.
Основная проблема заключается в том, что:
- Адрес веб-сайта будет https://website.domain.com/
- Затем Pound прервет SSL и перенаправит трафик на веб-сервер через другой порт ( http://server.domain.com:8888/).
Я настроил Shibboleth для защиты адреса http://server.domain.com:8888/, что позволяет мне извлекать метаданные, и кажется, что все работает нормально. Однако проблема, по-видимому, заключается в том, что ADFS настроен для защиты веб-сайта https, поэтому, когда Shibboleth пытается получить информацию из ADFS, я не получаю ничего, кроме следующей ошибки:
A token request was received for a relying party identified by the key
'https://msstagrevproxy.cwpintranet.com/shibboleth', but the request could not
be fulfilled because the key does not identify any known relying party trust.
Key: https://msstagrevproxy.cwpintranet.com/shibboleth
Я не совсем уверен, как мне обойти это, так как для извлечения метаданных из Shibboleth мне нужно использовать адрес https, но на самом деле его нет в Shibboleth или IIS.
Кто-нибудь имел опыт работы с этим ранее или использовал какой-либо другой SSO с обратным прокси, который работает?
1 ответ
Вам нужно посмотреть на доверие RP, настроенное на сервере AD FS для Shibboleth. Убедитесь, что в AD FS настроен правильный идентификатор Shibboleth SP. Обратите внимание, что это URI и его регистр учитывается.