Wildfly 24 を使用してコンテナ管理認証を設定しようとしており、既存の (フェデレーション) Shibboleth IDP を使用したいと考えています。
そのユースケースを詳しく説明したドキュメントが見つからなかったため、プロキシ認証シナリオ (Apache + Shibboleth SP が AJP 経由で Wildfly に接続するなど) を選択しました。
のElytron ドキュメントREMOTE_USER「外部」HTTP 認証、つまりプリンシパルとして渡すことについて言及しています。SP (または他の認証プロキシ) からロールを取得する方法は含まれていません。
私が知りたいのは、次のことです。
- LDAP などの別のデータ ストアに頼らずに、別の AJP 属性 / HTTP ヘッダーからロールをマップするにはどうすればよいですか? メール アドレスなどの追加の属性もプリンシパルに取得できますか?
- Wildfly で SAML2 を設定する別の方法はありますか? Keycloak のサポートは、単一の (Keycloak) IDP を想定しているため、かなり制限されています。Picketlink も同様に制限されており、非推奨です。
- あるいは、OIDC はこのように動作しますか? どのように設定すればよいですか?