我正在尝试使用 Wildfly 24 设置容器管理身份验证,并希望使用现有的(联合)Shibboleth IDP。
我没有找到详细介绍该用例的文档,因此我选择了代理身份验证场景,例如 Apache + Shibboleth SP 通过 AJP 连接到 Wildfly。
这Elytron 文档提到了“外部”http 身份验证,即作为主体传递REMOTE_USER
。它不包括如何从 SP(或任何其他身份验证代理)获取角色。
我想知道的是:
- 如何获取从另一个 AJP 属性/HTTP 标头映射的角色,而无需借助 LDAP 等其他数据存储?我是否也可以将其他属性(例如邮件地址)添加到主体中?
- 有没有其他方法可以使用 Wildfly 设置 SAML2?Keycloak 支持相当有限,因为它假设只有一个 (Keycloak) IDP。Picketlink 也受到限制并且已弃用。
- 或者,OIDC 会这样工作吗?我该如何设置?