OKTA(IdP) - Shibboleth(SP)与Tomcat的反向代理

Question

我现在正在旋转一个大轮子。请放点光。反向代理正在与Apache一起工作。所以，当我访问https://hostname/app/default.html时，它会打开Tomcat应用程序url。没问题。

tomcat应用程序目前重定向到https://hostname/app/login.html，它有一个登录框。

1)我是否需要禁用Tomcat server.xml上的server.xml？

<Resource name="UserDatabase" auth="Container"
          type="org.apache.catalina.UserDatabase"
          description="User database that can be updated and saved"
          factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
          pathname="conf/tomcat-users.xml" />

( 2)这个Shibboleth结构正确吗？但是，当我尝试用OKTA- Shibboleth(3.0)配置它时，它是循环OKTA SSO url。

在shibboleth2.xml中

<ApplicationDefaults id="default" 
                         entityID="https://hostname/shibboleth-sp" 
                         REMOTE_USER="userid" >
   <SSO entityID="http://www.okta.com/~~~~">

OKTA的元数据由shibboleth2.xml文件下载和定位。也会生成证书并将其放在同一个文件夹中。

3)这个OKTA配置正确吗？在OKTA小部件配置菜单中，

- Single sign on url :https://hostname/Shibboleth.sso/SAML2/POST
- recipient url : https://hostname/Shibboleth.sso/SAML2/POST
- destination url :https://hostname/Shibboleth.sso/SAML2/POST
- audience restriction :https://hostname/shibboleth-sp  <-- above SP entityID
- default relay state : ??

现在，当我单击OKTA上的小部件时，它正在循环。

https://hostname/Shibboleth.sso/SAML2/POST

包含SAML响应。

然后，它重定向到OKTA SSO url。它永远不会结束。

https:// xxx.oktapreview.com/app/xx_reverse_proxy_/xxxx/sso/saml?SAMLRequest=~~~&RelayState=~~~

这包含SAML请求，但看起来如下所示。

<samlp:AuthnRequest 
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" 
AssertionConsumerServiceURL="https://hostname/Shibboleth.sso/SAML2/POST" 
Destination="https://okta sso/sso/saml" 
ID="xx" 
IssueInstant="2018-11-02T15:39:24Z" 
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 
Version="2.0">
<saml:Issuer 
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">https://hostname/shibboleth-sp
</saml:Issuer>
<samlp:NameIDPolicy 
    AllowCreate="1"/>

​

这个词是对的吗？为什么它是循环和如何修复？

Answer 1

Re Q#1:您只需要使用Tomcat用户来保护应用程序，例如Tomcat管理器。否则就不会了。

Re Q#2:您列出了SAML中的<SSO entityID="http://www.okta.com/~~~~">但是Destination="https://okta sso/sso/saml"。您可能需要检查http/https。这是一个非常常见的循环原因。消除任何潜在的http/https不一致性。

在我看来是正确的。这是您在entityID="https://hostname/shibboleth-sp"中指定的