Ich versuche, eine containergesteuerte Authentifizierung mit Wildfly 24 einzurichten und möchte einen vorhandenen (föderierten) Shibboleth-IDP verwenden.
Ich habe keine Dokumente gefunden, in denen dieser Anwendungsfall detailliert beschrieben wird, deshalb habe ich mich für das Proxy-Authentifizierungsszenario entschieden, z. B. Apache + Shibboleth SP, die über AJP eine Verbindung zu Wildfly herstellen.
DerElytron-Dokumenteerwähnen Sie „externe“ HTTP-Authentifizierung, also die Weitergabe REMOTE_USERals Auftraggeber. Was nicht enthalten ist, ist, wie man Rollen vom SP (oder einem anderen Authentifizierungsproxy) erhält.
Was ich wissen möchte ist:
- Wie kann ich Rollen aus einem anderen AJP-Attribut/HTTP-Header zuordnen, ohne auf einen anderen Datenspeicher wie LDAP zurückgreifen zu müssen? Kann ich auch zusätzliche Attribute in den Principal aufnehmen, wie z. B. eine E-Mail-Adresse?
- Gibt es eine alternative Möglichkeit, SAML2 mit Wildfly einzurichten? Die Keycloak-Unterstützung ist eher eingeschränkt, da sie einen einzelnen (Keycloak) IDP voraussetzt. Picketlink ist ebenfalls eingeschränkt und veraltet.
- Würde OIDC alternativ auch so funktionieren? Wie würde ich das einrichten?