有人可以解释Saml2身份验证过程吗?我已经为ckan安装了ckanext-saml2扩展。我在登录表单中有一个额外的按钮,用sso调用login.But我没有任何sp元数据(sp.xml)。我也有idp.xml但是我应该写什么这个文件。你对这些文件有什么想法?我应该创建一个sp.xml文件吗?还应该更改idp.xml文件吗?当我点击按钮我应该在哪里读取用户信息?
您不应该更改idp.xml。
基本上ckanext-saml2用于允许用户从其他地方进入CKAN门户,而不仅仅是CKAN。
为此,您需要一个idp.xml和sp.xml文件。
idp.xml - 由远程门户的唯一路径组成的文件,其中所有用户已存在(通常标记为entityID)和X509 Certificate。
sp.xml - 由CKAN门户生成的文件,其数据与idp.xml几乎相同。
这两个文件都用于允许用户从其他门户登录CKAN。换句话说,sp.xml文件被提供给IdP(身份提供者),并且idp.xml文件被提供给将要使用它的CKAN门户(服务提供者)。
根据ckanext-saml2文档,所有配置都应该在ckanext / saml2 / config / sp_config.py文件中完成。配置应该包括来自idp.xml的entityID URL,idp.xml文件的路径,日志路径,CKAN门户的数据,应该从响应中获取的字段,它们的映射等等......
完成配置后,根据文档,您将能够使用python make_metadata.py sp_config.py从sp_config.py文件生成sp.xml。
登录页面上的按钮应该重定向到IdP登录页面,您应该登录并重定向回CKAN。如果CKAN Portal上不存在使用IdP的响应,CKAN将自动为您创建用户。
有关详细信息,您可以查看Datashades SAML2 CKAN repo或原始一次。
如果您不确定SSO,那么您需要对此有一个很好的解读。
你能告诉我们你整合了什么样的IdP吗? AD FS?
您的sp.xml应该由ckanext-saml2扩展生成,看看他们的git hub页面。然后你需要上传sp.xml(sp元数据到你的IdP)