Wie man eine Website shibbolize

  • Ich habe eine Anwendung, die E-Mail-Adressen für die Benutzerauthentifizierung verwendet.

    Ich weiß, dass einige Universitäten Shibboleth für die Benutzerauthentifizierung verwenden, und ich habe mich gefragt, wie man E-Mails aus der für Shibboleth verwendeten Universitätsdatenbank lesen kann. Beachten Sie, dass mir die Authentifizierung durch Shibboleth nicht wichtig ist. Ich muss nur die E-Mail-Adressen lesen können.

    Ist es allgemein für alle Universitäten, die Shibboleth verwenden, oder handelt es sich jeweils um einen eindeutigen Fall?

    Alle Links zur Dokumentation, wie dieser Prozess durchgeführt wird, sind sehr willkommen. Vielen Dank.

    22 November 2011
    David542
2 answers
  • Shibboleth kann (IdP-Seite) konfiguriert werden, um Benutzerattribute zusammen mit Authentifizierungsdaten, z. B. der E-Mail-Adresse des Benutzers, freizugeben. Wenn Sie shibd voraussetzen, benötigen Sie in Ihrem attribute-map.xml eine Einstellung, die "Map-Attribut mit OID x.y.z.a zur Umgebungsvariablen USERMAIL" angibt, und dann erhalten Sie das Ergebnis in dieser Umgebungsvariablen. Die Beispielkonfiguration sollte es bereits enthalten.

    Dies wäre für alle gleich, sofern die OID für "email" immer die gleiche ist, aber Sie müssten mit der IdPs (Universitäten) oder ihre Verbände, so dass sie dieses Attribut tatsächlich für Sie freigeben.

    23 November 2011
    Ulrich Schwarz
  • Shibboleth wird von vielen Institutionen verwendet, aber keineswegs allen. Viele verwenden unter anderem Athen, Proxies oder IP-Erkennung.

    Soweit mir bekannt ist, ist die E-Mail-Adresse eines Benutzers nicht direkt an das Shib-System gebunden. Wenn ein Benutzer versucht, auf eine Shibboleth-geschützte Ressource zuzugreifen, wird er auf die Anmeldeseite seiner Institution geleitet, um sich zu authentifizieren. Sie können ihre E-Mail-Adresse eingeben, um sich zu authentifizieren, oder einen Benutzernamen eingeben, sie werden möglicherweise automatisch basierend auf ihrer IP-Adresse oder etwas anderem angemeldet.

    Die Institution sendet zurück eine Verbindung durch Shib-Datenübertragung bei erfolgreichem Login, etwa student@brown.ac.uk, dies ist jedoch nicht notwendigerweise die E-Mail-Adresse, die der Benutzer zum Anmelden verwendet hat. Ich denke, sie könnten das senden, aber es wurde nicht in Systemen verwendet, an denen ich gearbeitet habe.

    Shibboleth wird normalerweise verwendet, um zu überprüfen, ob der Benutzer von einer Institution stammt, die Zugriff auf eine geschützte Ressource erworben hat, anstatt einen bestimmten Benutzer von dieser Institution zu identifizieren, sodass die E-Mail-Adresse des Benutzers nicht gilt benötigt.

    Nicht sicher, ob dies überhaupt hilft: http://middleware.internet2.edu/eduperson/docs/internet2-mace-dir-eduperson-200806.html#eduPersonAffiliation

    22 November 2011
    Steve Claridgegohohgle