Я пытаюсь настроить аутентификацию, управляемую контейнером, с помощью Wildfly 24 и хотел бы использовать существующий (федеративный) Shibboleth IDP.
Я не нашел документации, подробно описывающей этот вариант использования, поэтому выбрал сценарий прокси-аутентификации, например, Apache + Shibboleth SP, подключающийся через AJP к Wildfly.
TheElytron документыупоминают "внешнюю" http-аутентификацию, то есть передачу REMOTE_USERв качестве принципала. Чего он не включает, так это как получить роли от SP (или любого другого аутентифицирующего прокси, если на то пошло).
Я хочу знать следующее:
- Как можно получить роли, сопоставленные с другим атрибутом AJP / заголовком HTTP, не прибегая к другому хранилищу данных, такому как LDAP? Могу ли я также получить дополнительные атрибуты в принципале, например, адрес электронной почты?
- Есть ли альтернативный способ настройки SAML2 с Wildfly? Поддержка Keycloak довольно ограничена, поскольку предполагает наличие одного (Keycloak) IDP. Picketlink также ограничен и устарел.
- Или OIDC будет работать таким образом? Как мне это настроить?