用于电路的SAML2身份验证扩展

Question

有人能解释一下Saml2身份验证过程吗？我已经为ckan.I安装了ckanext-saml2扩展。我在登录表单中有一个额外的按钮，称为使用sso.But登录我没有任何sp元数据( sp.xml ).Also我有idp.xml，但是我应该向此file.Do写入什么您对这些文件有什么想法吗?我应该创建一个sp.xml文件吗?我还应该更改idp.xml文件吗?当我单击该按钮时，我应该在哪里读取用户信息？

Answer 1

您不应该更改idp.xml。

基本上，ckanext-saml2用于允许用户从其他地方进入CKAN门户，而不仅仅是CKAN。

为此，您需要一个idp.xml和sp.xml文件。

idp.xml -由指向所有用户都已存在的远程门户(通常标记为entityID)和X509 Certificate的唯一路径组成的文件。

sp.xml -由CKAN门户生成的文件，其数据与idp.xml几乎相同。

这两个文件都用于允许用户从其他门户登录到CKAN。换句话说，sp.xml文件被提供给IdP (身份提供商)，而idp.xml文件被提供给要使用它的CKAN门户(服务提供商)。

根据ckanext-saml2文档，所有配置都应在ckanext/saml2/config/sp_config.py文件中完成。配置应包括来自idp.xml的entityID URL、指向idp.xml文件的路径、指向日志的路径、有关CKAN门户的数据、应从响应中获取的字段及其映射等……

配置完成后，根据文档，您将能够使用sp_config.py sp.xml从文件生成python make_metadata.py sp_config.py。

登录页面上的按钮应该会将您重定向到IdP登录页面，在这里您应该登录并被重定向回CKAN。如果CKAN Portal上不存在用户，CKAN会使用来自IdP的响应自动为您创建一个用户。

有关更多详细信息，您可以查看Datashades SAML2 CKAN repo或查看原始版本。

Answer 2

如果你对SSO不确定，那么你需要好好读一读。

你能告诉我们你集成的是哪种IdP吗？AD FS？

你的sp.xml应该是由ckanext-saml2扩展生成的，看看他们的git集线器页面。然后，您需要将sp.xml (sp元数据)上载到您的IdP