Estoy intentando configurar la autenticación administrada por contenedor con Wildfly 24 y me gustaría utilizar un IDP de Shibboleth existente (federado).
No encontré documentos que detallen ese caso de uso, así que opté por el escenario de autenticación de proxy, por ejemplo, Apache + Shibboleth SP conectándose a través de AJP a Wildfly.
ElDocumentos de Elytronmencione la autenticación http "externa", es decir, transmitirla REMOTE_USER
como principal. Lo que no incluye es cómo obtener roles del SP (o cualquier otro proxy de autenticación).
Lo que quiero saber es:
- ¿Cómo puedo asignar roles desde otro atributo AJP/encabezado HTTP sin recurrir a otro almacén de datos como LDAP? ¿Puedo obtener atributos adicionales en el principal también, como por ejemplo una dirección de correo?
- ¿Existe alguna forma alternativa de configurar SAML2 con Wildfly? El soporte de Keycloak es bastante limitado, ya que supone un único IDP (Keycloak). Picketlink también es limitado y obsoleto.
- Alternativamente, ¿OIDC funcionaría de esta manera? ¿Cómo configuraría esto?