Estou tentando configurar a autenticação gerenciada por contêiner com o Wildfly 24 e gostaria de usar um IDP Shibboleth existente (federado).
Não encontrei documentos detalhando esse caso de uso, então optei pelo cenário de autenticação de proxy, por exemplo, Apache + Shibboleth SP conectando via AJP ao Wildfly.
ODocumentos Elytronmencione a autenticação http "externa", o que significa passar REMOTE_USERcomo principal. O que não inclui é como obter funções do SP (ou qualquer outro proxy de autenticação).
O que eu quero saber é:
- Como posso mapear funções de outro atributo AJP/cabeçalho HTTP sem recorrer a outro armazenamento de dados como LDAP? Também posso obter atributos adicionais no principal, como, por exemplo, um endereço de e-mail?
- Existe uma maneira alternativa de configurar o SAML2 com o Wildfly? O suporte ao Keycloak é bastante limitado, pois pressupõe um único IDP (Keycloak). Picketlink também é limitado e obsoleto.
- Alternativamente, o OIDC funcionaria dessa maneira? Como eu configuraria isso?