如何配置Shibboleth的多个境内流离失所者

Question

我已经安装了shibboleth 3.0.2版本。我托管了一个页面应用程序，需要通过ADFS登录来保护它。对于不同的用户集，有两个ADFS。

对于如何实现这一点，我几乎没有什么疑问。

1. 如何在shibboleth2.xml文件中配置两个国内流离失所者。元素只允许使用一次。我提供了两个带有不同元数据文件的标记，但是当我单击链接https://devserver.testhost.com/Shibboleth.sso/DiscoFeed时，它向我展示了两个"entityID“元素，并提供了相同的IDP。
2. 系统如何与两名国内流离失所者一起工作。什么过程应该确定什么时候调用哪个国内流离失所者。就像使用单个IDP一样，我可以在Apache配置中执行如下所示的操作。每当上下文路径被击中时，apache将重定向对shibboleth的调用，并将shibboleth重定向到IDP。

AuthType shibboleth ShibRequestSetting requireSession 1需要有效用户

但我有点困惑，因为当有一个以上的国内流离失所者，如何决定哪一个被打电话。

你能帮我处理上面的问题吗？

谢谢

Answer 1

您需要在安装服务提供商的同时运行Shibboleth Embedded Discovery (EDS)1，以便当用户请求受保护的资源(即/secure )时，它们会被踢到发现服务，该服务会提示他们选择要对其进行身份验证的身份提供程序。

Shibboleth.sso/DiscoFeed url用于配置EDS，以便它知道为服务提供者配置哪些身份提供者的详细信息，以及它应该在下拉列表中包含哪些信息。

EDS只不过是一些Javascript来解析JSON并创建适当的URL，供用户使用下拉列表进行选择，但这正是您在这里所需要的。

1