Shibboleth (SSO) 与 ADFS 和 Pound 协同工作时遇到了一些问题。
主要问题似乎是:
- 网站地址为https://website.domain.com
- 然后,Pound 将终止 SSL,并将流量转发到不同端口上的 Web 服务器(http://server.domain.com:8888)
我已经设置了 Shibboleth 来保护地址http://server.domain.com:8888,它允许我检索元数据,一切似乎都运行良好。然而,问题似乎是 ADFS 配置为保护 https 网站,因此当 Shibboleth 尝试从 ADFS 接收信息时,我除了以下错误之外什么也得不到:
A token request was received for a relying party identified by the key
'https://msstagrevproxy.cwpintranet.com/shibboleth', but the request could not
be fulfilled because the key does not identify any known relying party trust.
Key: https://msstagrevproxy.cwpintranet.com/shibboleth
我不太清楚如何解决这个问题,因为要从 Shibboleth 检索元数据,我必须使用 https 地址,但这在 Shibboleth 或 IIS 中实际上并不存在。
有人曾经有过这种经验或者使用过任何其他可以正常工作的具有反向代理的 SSO 吗?
答案1
您需要查看 AD FS 服务器上为 Shibboleth 配置的 RP 信任。确保您在 AD FS 上配置了正确的 Shibboleth SP 标识符。请注意,这是一个 URI,区分大小写。