跨校統(tǒng)一身份認(rèn)證IDP和SP安裝開發(fā)指南V1.2.doc

跨校身份認(rèn)證跨校身份認(rèn)證 IDPIDP 和和 SPSP 安裝開發(fā)指南安裝開發(fā)指南 金智教育信息技術(shù)有限公司金智教育信息技術(shù)有限公司 20112011 年年 7 7 月月 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 1 目目 錄錄 1 架構(gòu)方案和系統(tǒng)組成架構(gòu)方案和系統(tǒng)組成 3 2 基礎(chǔ)技術(shù)平臺(tái)基礎(chǔ)技術(shù)平臺(tái) SHIBBOLETH 3 2 1 SHIBBOLETH簡(jiǎn)介 3 2 1 1 Shibboleth的組成 4 2 1 2 Shibboleth的特點(diǎn) 4 2 1 3 Shibboleth在本項(xiàng)目中的作用 5 2 2 系統(tǒng)組成 5 2 2 1 跨校身份認(rèn)證中心 5 2 2 2 跨校身份認(rèn)證組件 5 3 組件安裝組件安裝 6 3 1 IDP 安裝配置 6 3 1 1 Web容器配置 6 3 1 2 安裝IdP組件 7 3 1 3 IDP服務(wù)的啟停 8 3 1 4 配置認(rèn)證方式 8 3 1 5 配置IdP認(rèn)證支持的SP 11 3 1 6 IDP屬性獲取方式配置 11 3 1 7 IDP屬性安全配置 12 3 1 8 注冊(cè)IDP 14 3 2 SP 安裝配置指南 14 3 2 1 基礎(chǔ)組件安裝 14 3 2 2 配置Apache 15 3 2 3 配置SP保護(hù)路徑 16 3 2 4 配置此SP使用DS 17 3 2 5 配置此SP支持的IdP認(rèn)證 必須 關(guān)鍵 17 3 2 6 配置SP需要的屬性 18 3 2 7 安裝完成 重啟shibd服務(wù)和httpd 19 3 2 8 注冊(cè)SP 19 3 2 9 反向代理集成應(yīng)用 19 3 2 10 登出SP 19 4 開發(fā)接口開發(fā)接口 21 4 1 IDP SERVER身份認(rèn)證接口 21 4 2 IDP SERVER屬性獲取接口 22 4 3 SP 屬性獲取接口 23 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 2 1 架構(gòu)方案和系統(tǒng)組成架構(gòu)方案和系統(tǒng)組成 下圖為跨校身份認(rèn)證邏輯圖 上海教育城域網(wǎng) IdP SP 高校A IdP SP 高校B IdP SP 高校Z WAYF Discovery IdP SP 高校C IdP SP 高校D 2 基礎(chǔ)技術(shù)平臺(tái)基礎(chǔ)技術(shù)平臺(tái) Shibboleth 2 1 Shibboleth 簡(jiǎn)介簡(jiǎn)介 Shibboleth 是 Intemet2 MACE 項(xiàng)目中的一個(gè) 得到了 IBM 的技術(shù)和資 金支持 Shibboleth 是一個(gè)使用標(biāo)準(zhǔn)語言描述的體系結(jié)構(gòu)和策略框架 支持 安全 Web 資源和服務(wù)的共享 Shibboleth 主要針對(duì)校園環(huán)境中對(duì)分布式資源訪問有效訪問問題 Shibboleth 與其它系統(tǒng)的區(qū)別在于 Shibboleth 將認(rèn)證模塊放在用戶端 資源提 供者只需進(jìn)行很少的驗(yàn)證工作 這樣極大地減輕了資源提供者的負(fù)擔(dān) 同時(shí) 簡(jiǎn)化了訪問程序 提高了訪問資源的效率 安全性也得到了保證 在系統(tǒng)擴(kuò) 展方面 Shibboleth 采用了 SAML 規(guī)范 同時(shí)也在 SAML 上作了一些改進(jìn) 這樣保證了系統(tǒng)的可擴(kuò)展性 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 3 2 1 1 Shibboleth 的組成的組成 Shibboleth 主要由三個(gè)部分組成 1 Identity Provider 身份提供端 主要作用是向資源提供者提供用戶的屬性 以便使資源服 務(wù)器根據(jù)其屬性對(duì)其操作進(jìn)行判決響應(yīng) 2 Service Provider 資源 服務(wù)提供端 主要作用是響應(yīng)用戶的資源請(qǐng)求 并向該用戶所在 的 IDP 查詢用戶的屬性 然后根據(jù)屬性作出允許或拒絕訪問資源的決策 3 WAYF Where Are You From 的首字母簡(jiǎn)稱 WAYF 組件知道每一個(gè) IDP 端句柄 服務(wù)器的名稱和位置 其主要功能是將 IDP 端站點(diǎn)名稱映射到 HS 信息上 WAYF 的另一個(gè)作用是為用戶查詢 HS 并將句柄發(fā)送給 SHIRE WAYF 通過 與用戶打交道 詢問 你從哪來 用戶選擇所屬組織 WAYF 便在用戶組 織的名稱與 HS 的 URL 之間進(jìn)行映射 2 1 2 Shibboleth 的特點(diǎn)的特點(diǎn) 將 Shibboleth 系統(tǒng)與其他類似比較 Shibboleth 的特點(diǎn)主要表現(xiàn)在 1 極好的隱私保密性 在用戶訪問在資源的整個(gè)過程中 標(biāo)識(shí)用戶 身份的是一個(gè)不透明的句柄 這樣除了 AA 和 HS 之外的任何實(shí)體都不能獲 得用戶的個(gè)人信息 2 使用基于標(biāo)準(zhǔn)的標(biāo)記語言 SAML Shibboleth 訪問資源的方式和 SAML 規(guī)范很相似 在 Shibboleth 中 AQM ARM 等消息格式都是參照 SAML 規(guī)范指定的 3 充分解決了單點(diǎn)登錄 Single Sign On sso 問題 SAML 規(guī)范主 要是針對(duì) SSO 問題 而 Shibboleth 參照了 SAML 規(guī)范 極好地解決了 SSO 問題 4 用戶訪問資源是一種 Pull 模式 用戶訪問資源時(shí) 并不是一次將 所有的信息全部暴露出來 而是在需要的時(shí)候部分暴露 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 4 2 1 3 Shibboleth 在本項(xiàng)目中的作用在本項(xiàng)目中的作用 1 本項(xiàng)目將基于 Shibboleth 的框架進(jìn)行開發(fā) 根據(jù)用戶的實(shí)際需求 對(duì) Shibboleth 進(jìn)行改造 2 Shibboleth 構(gòu)成跨域統(tǒng)一身份認(rèn)證系統(tǒng)的核心部分 包括 IdP SP 和 WAYF 組成的整個(gè)跨域統(tǒng)一身份認(rèn)證系統(tǒng)的架構(gòu) 3 通過將 Shibboleth 的 IdP 組件與各個(gè)學(xué)校的統(tǒng)一身份認(rèn)證系統(tǒng)集 成 將身份數(shù)據(jù)的管理和身份憑據(jù)的認(rèn)證交給各個(gè)學(xué)校自身的統(tǒng)一身份認(rèn)證 系統(tǒng) 跨域認(rèn)證中心只是作為跨域認(rèn)證的索引 并不維護(hù)任何身份數(shù)據(jù) 2 2 系統(tǒng)組成系統(tǒng)組成 2 2 1 跨校身份認(rèn)證中心跨校身份認(rèn)證中心 組件名稱主要功能實(shí)現(xiàn)方式 WAYF 服務(wù)1 轉(zhuǎn)發(fā)用戶請(qǐng)求給相應(yīng)的 IdP 認(rèn)證 2 接受 IdP 注冊(cè) 存儲(chǔ)所有 IdP 的信息 3 提供一個(gè)簡(jiǎn)單 Web 訪問界面 供用戶選擇其能夠認(rèn) 證的 IdP 4 接受 SP 注冊(cè) 存儲(chǔ)所有 SP 的信息 改造 Shibboleth 組件 2 2 2 跨校身份認(rèn)證組件跨校身份認(rèn)證組件 組件名稱主要功能實(shí)現(xiàn)方式 IdP 身份提供 者 1 存儲(chǔ)用戶的身份信息 2 為 SP 提供用戶身份認(rèn)證服務(wù) 3 為 SP 提供用戶屬性數(shù)據(jù) 4 為整個(gè)訪問過程初始化 SSO 服務(wù) 5 提供和其他身份認(rèn)證系統(tǒng)的統(tǒng)一集成接口 基于 Shibboleth 組件 作相應(yīng)擴(kuò)展 SP 服務(wù)提供 者 1 為用戶提供受控資源訪問的入口 2 判斷來訪用戶是否已經(jīng)認(rèn)證 3 根據(jù)用戶屬性確定其對(duì)受控資源的訪問權(quán)限 基于 Shibboleth 組件 作相應(yīng)擴(kuò)展 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 5 3 組件安裝組件安裝 本章節(jié)描述 IDP 和 SP 的安裝配置 系統(tǒng)環(huán)境要求 軟件版本備注 操作系統(tǒng)Linux RedHat ES 5 1 JDKSun JDK 1 5必須是 1 5 以上 J2EE Web 容器Apache Tomcat 5 5 26 Web ServerApache 2 2需要支持 mod ssl mod proxy aj p 安裝前請(qǐng)注意 1 系統(tǒng)時(shí)間必須設(shè)置正確 2 apache httpd 需要 mod ssl mod proxy ajp 假設(shè)安裝在 etc httpd 3 必須使用 tomcat 5 5 x 假設(shè)安裝在 opt apache tomcat 5 5 26 4 如果需要改變安裝目錄重新安裝 必須退到解壓那步 否則很多和目 錄有關(guān)的代碼不會(huì)重新編譯 導(dǎo)致嚴(yán)重錯(cuò)誤 5 配置文件很多 要有耐心 3 1 IDP 安裝配置安裝配置 3 1 1 Web 容器配置容器配置 J2EE Web 容器使用 Tomcat 版本必須為 tomcat 5 5 x 假設(shè)安裝在 opt apache tomcat 5 5 26 Web 前端采用 Apache 2 2 假設(shè)配置文件安裝在 etc httpd 配置步驟 1 取消 tomcat 的 AJP 身份認(rèn)證 vi opt apache tomcat 5 5 26 conf server xml 找到 Define an AJP 1 3 Connector 那 初始為 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 6 修改為 這里端口修改只是為了不沖突 2 apache httpd 配置 AJP 反向代理 vi etc httpd conf d proxy ajp conf 添加 LoadModule proxy ajp module modules mod proxy ajp so ProxyPass idp ajp localhost 8019 idp 3 1 2 安裝安裝 IdP 組件組件 1 初始化 IDP unzip q shibboleth idp 2 0 0 bin zip cd identityprovider cp endorsed jar opt apache tomcat 5 5 26 common endorsed sh ant sh install 提示是否新安裝 yes 提示選擇安裝目錄 opt idp 提示 hostname 根據(jù)實(shí)際填寫 舉例為 提示加密密匙 隨便寫 2 部署 war 解壓 idp war 到 Tomcat 下面的 webapps idp 目錄即可 3 測(cè)試 應(yīng)該能看到 ok httpd k restart links http 127 0 0 1 idp profile Status 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 7 3 1 3 IDP 服務(wù)的啟停服務(wù)的啟停 目前已經(jīng)安裝好的各校 IDP 服務(wù)的啟動(dòng)命令如下 1 啟動(dòng) cd opt apache tomcat 5 5 26 bin startup sh cd opt lampp apacherestart sh 2 停止 cd opt apache tomcat 5 5 26 bin shutdown sh force cd opt lamp lamp stopapache 3 1 4 配置認(rèn)證方式配置認(rèn)證方式 IDP 支持標(biāo)準(zhǔn)的 JAAS 認(rèn)證方式 也支持自定義接口的方式 下面介紹基 于 LDAP 的 JAAS 認(rèn)證方式和金智 IDStar 統(tǒng)一身份認(rèn)證方式的配置 在開發(fā) 章節(jié)將會(huì)詳細(xì)介紹和其他認(rèn)證系統(tǒng)的集成開發(fā) 3 1 4 1 LDAP 認(rèn)證方式配置認(rèn)證方式配置 1 配置 IDP 登錄處理 vi opt idp conf handler xml 啟用 UsernamePassword 方式 修改為 urn oasis names tc SAML 2 0 ac classes unspecified urn oasis names tc SAML 2 0 ac classes PasswordProtect edTransport 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 8 屏蔽其他認(rèn)證方式 其他 LoginHander 段 注 必須保留 PreviousSession LoginHander 段的配置 2 配置 LDAP 的 JAAS 認(rèn)證 vi opt idp conf login config ShibUserPassAuth edu vt middleware ldap jaas LdapLoginModule required host 172 18 33 235 base dc wiscom dc com dc cn serviceUser cn Directory Manager serviceCredential userField uid subtreeSearch true 屬性說明 屬性說明備注 HostLDAP 服務(wù)器地址IP 域名均可 BaseLDAP Base 名稱 serviceUserLDAP 登錄用戶此用戶需要有 LDAP 的 訪問權(quán)限 serviceCredential密碼 userField用戶 ID 的 LDAP 字段名 subtreeSearch是否搜索 LDAP 子節(jié)點(diǎn)默認(rèn)為 True 3 1 4 2 金智金智 IDStar 認(rèn)證方式配置認(rèn)證方式配置 1 配置 IDP 登錄處理 vi opt idp conf handler xml 啟用 Generic 方式 修改為 urn oasis names tc SAML 2 0 ac classes unspecified 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 9 urn oasis names tc SAML 2 0 ac classes PasswordProtect edTransport 屏蔽其他認(rèn)證方式 其他 LoginHander 段 注 必須保留 PreviousSession LoginHander 段的配置 2 配置 IDStar 認(rèn)證支持 vi opt idp conf internal xml 加入以下配置 注 這是個(gè)標(biāo)準(zhǔn)的 spring 配置文件 配置方法參考 Spring 幫助 3 配置 IDStar 認(rèn)證接口 vi opt wiscom config shibboleth config client properties 按 IDStar 的配置說明進(jìn)行配置 4 配置 IDP Web 登錄處理 編輯 IDP war 安裝目錄下面的 web xml 配置 GenericAuthHandler 的 Servlet 參數(shù) authenticationProvider 把值設(shè)置為 wiscom idstarAuthenticationProvider 即認(rèn)證處理采用 wiscom 自定 義的認(rèn)證處理方式 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 10 3 1 5 配置配置 IdP 認(rèn)證支持的認(rèn)證支持的 SP 如果 SP 需要 IDP 的認(rèn)證支持 IDP 必須配置他能提供認(rèn)證服務(wù)的 SP 信 息 vi opt idp conf relying party xml 找到 MetadataProvider 那 注意修改各個(gè) MetadataProvider 的 id backingFile 假設(shè)某通過 apache 模塊工作的 SP 位于 http sp host 注 WAYF 服務(wù)提供了所有加入跨校身份認(rèn)證的 IDP 和 SP 的 Metadata 信息 地址為 metadataURL 可以設(shè)置為 IDP 就支持 所有加入跨校認(rèn)證的 SP 3 1 6 IDP 屬性獲取方式配置屬性獲取方式配置 IDP 的屬性獲取方式支持 LDAP 數(shù)據(jù)庫等 也支持自定義方式 下面介 紹 LDAP 方式和自定義的 IDStar 認(rèn)證系統(tǒng)方式 自定義方式的程序開發(fā)在接口開發(fā)章節(jié)詳細(xì)介紹 3 1 6 1 LDAP 屬性獲取方式配置屬性獲取方式配置 vi opt idp conf attribute resolver xml 找到 取消注釋 配置 LDAP 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 11 3 1 6 2 IDStar 用戶屬性獲取方式配置用戶屬性獲取方式配置 1 配置 IDP 屬性獲取參數(shù) 編輯 opt idp conf attribute resolver xml 注釋掉其他的 resolver DataConnector 項(xiàng) 加入 2 配置 IDStar 屬性獲取服務(wù) 編輯 opt idp conf 加入下面的內(nèi)容 3 1 7 IDP 屬性安全配置屬性安全配置 IDP 可以配置自身提供屬性的訪問策略 可以配置指定的 SP 所能訪問 到的屬性項(xiàng)目 下面說明全局屬性配置和指定 SP 屬性配置 屬性安全配置文件 opt idp conf attribute filter xml 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 12 3 1 7 1 全局屬性配置全局屬性配置 全局屬性配置是指 對(duì)于配置為全局的屬性項(xiàng) 所有加入跨校身份認(rèn)證 的 SP 都能訪問到 編輯 opt idp conf attribute filter xml 添加策略 以上的配置項(xiàng)目表示對(duì)于屬性 domainName inetUserStatus typeOf eduExtend 所有加入身份聯(lián)盟的 SP 都可以訪問 3 1 7 2 指定指定 SP 屬性訪問配置屬性訪問配置 指定屬性配置是指 對(duì)單獨(dú)的 SP 可以指定對(duì) IDP 所提供的那些屬性項(xiàng) 可以訪問 編輯 opt idp conf attribute filter xml 添加策略 以上配置表示 對(duì) SP shec wayf sp test 在 IDP 的 Metadata 中定 義 可以訪問 cn uid mail sn 四個(gè)屬性項(xiàng)目 3 1 8 注冊(cè)注冊(cè) IDP IDP 安裝成功以后 會(huì)自動(dòng)生成 Metadata 文件 opt idp metadata idp metadata xml 注冊(cè)到跨校認(rèn)證 需要將此文件發(fā)送給 WAYF 注冊(cè) 請(qǐng)把此文件提交給 WAYF 管理員 3 2 SP 安裝配置指南安裝配置指南 安裝的操作系統(tǒng)版本 Linux redhat e5 使用 apache 模塊方式安裝使用 SP 3 2 1 基礎(chǔ)組件安裝基礎(chǔ)組件安裝 安裝 SP 需要的基本組件 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 14 1 下載組件 curl O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 log4shib 1 0 1 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 xerces c 2 8 0 1 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 xml security c 1 4 0 1 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 xmltooling 1 0 6 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 opensaml 2 0 6 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 shibboleth 2 0 6 i386 rpm 2 安裝組件 rpm ivh log4shib 1 0 1 i386 rpm rpm ivh xerces c 2 8 0 1 i386 rpm rpm ivh xml security c 1 4 0 1 i386 rpm rpm ivh xmltooling 1 0 6 i386 rpm rpm ivh opensaml 2 0 6 i386 rpm rpm ivh shibboleth 2 0 6 i386 rpm 3 2 2 配置配置 Apache 修改 httpd 配置 vi etc httpd conf httpd conf 1 ServerName 必須設(shè)置 假設(shè)為 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 15 2 UseCanonicalName 改為 On 3 添加 mod shib 如果是 rpm 自動(dòng)安裝方式 已經(jīng)有 etc httpd conf d shib conf LoadModule mod shib usr lib shibboleth mod shib 22 so Allow from all Alias shibboleth sp main css usr share doc shibboleth main css Alias shibboleth sp logo jpg usr share doc shibboleth logo jpg 4 配置受保護(hù) 需要認(rèn)證 路徑 AuthType shibboleth ShibRequireSession On require valid user 3 2 3 配置配置 SP 保護(hù)路徑保護(hù)路徑 經(jīng)測(cè)試 這里設(shè)置的并不保險(xiǎn) 最好還是設(shè)置在 httpd conf 里 vi etc shibboleth shibboleth2 xml 找到 后面的 Host name 跟 httpd 的 ServerName 一致 需認(rèn)證的路徑配置舉例如下 更多設(shè)置參數(shù)見 http spaces internet2 edu display SHIB2 NativeSPProtectContent 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 16 3 2 4 配置此配置此 SP 使用使用 DS 加入支持的 WAYF 服務(wù)器 vi etc shibboleth shibboleth2 xml 找到 SessionInitiator 去掉 Location Login 項(xiàng)里的 isDefault true 改成 Location DS 項(xiàng)里的 isDefault true acsByIndex false 后一個(gè)是因?yàn)?SP 的 bug 并改 URL 地址 DS 地址 如下 3 2 5 配置此配置此 SP 支持的支持的 IdP 認(rèn)證 必須 關(guān)鍵 認(rèn)證 必須 關(guān)鍵 vi etc shibboleth shibboleth2 xml 在 內(nèi)添加 IdP 的 Metadata 如 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 17 注 其中的 uri 可配置為 SP 就支持所有加入跨校認(rèn)證的 IDP 服務(wù) 3 2 6 配置配置 SP 需要的屬性需要的屬性 SP 能否獲得自己需要的用戶屬性 最終還是由 IDP 來控制 這些屬性最終以環(huán)境變量的形式提供給 SP vi etc shibboleth attribute map xml 命名 name 和 id 要和 IdP 的 attribute resolver xml 對(duì)應(yīng) urn mace dir 是 SAML1String urn oid 是 SAML2String 如 上面的配置表示 SP 需要屬性項(xiàng) uid cn sn domainName mail inetUserStatus typeOf endextend 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 18 3 2 7 安裝完成 重啟安裝完成 重啟 shibd 服務(wù)和服務(wù)和 httpd 修改過以上配置文件后 必須重新啟動(dòng) shibd 服務(wù)和 httpd 服務(wù) httpd k restart service shibd start 3 2 8 注冊(cè)注冊(cè) SP SP 安裝成功以后 會(huì)自動(dòng)生成 Metadata 文件 通過 URL http sp host Shibboleth sso Metadata 訪問 注冊(cè)到跨校認(rèn)證 需要將此文件發(fā)送給 WAYF 注冊(cè) 請(qǐng)把此文件提交給 WAYF 管理員 3 2 9 反向代理集成應(yīng)用反向代理集成應(yīng)用 可以通過反向代理集成其他應(yīng)用 在 httpd conf 中設(shè)置 AuthType shibboleth ShibRequireSession On ShibUseHeaders On require valid user ProxyPass http app1 8080 meta 以上配置表示對(duì)于目錄 meta 的所有訪問需要登錄 用戶登錄成功后由 apache 反向代理到 app1 的 8080 端口 web 服務(wù) 該服務(wù)可以通過 http 的請(qǐng) 求頭讀取用戶的屬性 3 2 10 登出登出 SP 用戶登錄后可以使用鏈接 http sp host Shibboleth sso Logout 登出該 SP 系統(tǒng) 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 20 跨校身份認(rèn)證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 21 4 開發(fā)接口開發(fā)接口 Shibboleth 本身對(duì)于認(rèn)證和屬性獲取提供的接口有限 為了能更為方面 的和第三方身份認(rèn)證系統(tǒng)集成 金智對(duì) Shibboleth 做了相應(yīng)的擴(kuò)展 提供 兩個(gè)簡(jiǎn)單的接口來完成身份認(rèn)證和屬性獲取的自定義支持 兩個(gè)接口都是做為 IDP 的擴(kuò)展組件 4 1 IDP Server 身份認(rèn)證接口身份認(rèn)證接口 提供用戶校驗(yàn)服務(wù) 實(shí)現(xiàn)以下接口即可 package com wiscom shibboleth idp authn provider import javax servlet http HttpServletRequest import javax servlet http HttpServletResponse public interface IAuthenticationProvider public String check HttpServletRequest request HttpServletResponse response pub