Wildfly Elytron コンテナ管理認証とフェデレーション SAML2 IDP

Wildfly Elytron コンテナ管理認証とフェデレーション SAML2 IDP

Wildfly 24 を使用してコンテナ管理認証を設定しようとしており、既存の (フェデレーション) Shibboleth IDP を使用したいと考えています。

そのユースケースを詳しく説明したドキュメントが見つからなかったため、プロキシ認証シナリオ (Apache + Shibboleth SP が AJP 経由で Wi​​ldfly に接続するなど) を選択しました。

Elytron ドキュメントREMOTE_USER「外部」HTTP 認証、つまりプリンシパルとして渡すことについて言及しています。SP (または他の認証プロキシ) からロールを取得する方法は含まれていません。

私が知りたいのは、次のことです。

  • LDAP などの別のデータ ストアに頼らずに、別の AJP 属性 / HTTP ヘッダーからロールをマップするにはどうすればよいですか? メール アドレスなどの追加の属性もプリンシパルに取得できますか?
  • Wildfly で SAML2 を設定する別の方法はありますか? Keycloak のサポートは、単一の (Keycloak) IDP を想定しているため、かなり制限されています。Picketlink も同様に制限されており、非推奨です。
  • あるいは、OIDC はこのように動作しますか? どのように設定すればよいですか?

関連情報