景观OpenID认证

Question

目前，我已经安装了一个规范景观实例，我希望通过OpenID将身份验证方法更改为使用ADFS 2016。

然而，services.conf提供了这两种配置：

openid-provider-url = https://login.ubuntu.com/
openid-logout-url = https://login.ubuntu.com/+logout

如果我附加以下网址：

openid-provider-url = https://<my_adfs_server>/adfs/oauth2/authorize/

我知道错误：

Error in discovery: Error fetching XRDS document: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)>

安装ADFS证书并不能解决我的问题，因为我没有机会从ADFS OpenID中配置OpenID。

如何通过OpenID将景观与ADFS集成起来？

*PAM不是一个选项，因为我不能直接连接到AD。

Answer 1

可以将景观配置为使用OpenID，默认情况下使用UbuntuSSO。它可以按照https://help.landscape.canonical.com/LDS/ReleaseNotes12.09#OpenID_支持配置。

ADFS 2016使用的是"OpenID Connect“，这与与景观一起使用的"OpenID”不同。不幸的是，此时的景观不支持"OpenID连接“

下面是关于这些差异的更多信息：https://security.stackexchange.com/questions/44611/difference-between-oauth-openid-and-openid-connect-in-very-simple-term

希望这能帮上忙

Answer 2

还有..。从19.10版开始，山水可以使用OpenID (OIDC)对用户进行身份验证。https://docs.ubuntu.com/landscape/en/onprem-auth#openid-connect-support