我正在嘗試使用 Wildfly 24 設定容器管理的身份驗證,並希望使用現有的(聯合)Shibboleth IDP。
我沒有找到詳細說明該用例的文檔,因此我選擇了代理身份驗證場景,例如 Apache + Shibboleth SP 透過 AJP 連接到 Wildfly。
這Elytron 文檔REMOTE_USER提到「外部」http 身份驗證,意味著作為主體傳遞。它不包括如何從 SP(或任何其他與此相關的身份驗證代理)獲取角色。
我想知道的是:
- 如何取得從另一個 AJP 屬性/HTTP 標頭對應的角色,而無需求助於其他資料儲存(例如 LDAP)?我是否可以將其他屬性新增到主體中,例如郵件地址?
- 是否有其他方法可以使用 Wildfly 設定 SAML2? Keycloak 支援相當有限,因為它假定單一 (Keycloak) IDP。 Picketlink 也受到限制並已棄用。
- 或者,OIDC 會以這種方式運作嗎?我該如何設定呢?