KnowledgeBase
Questa pagina raccoglie diverse informazioni e casi presentati a IDEM e loro risoluzioni
Indice
CASO 1 - Autenticazione Multivalore
Problema
Si vuole permettere ai propri utenti di autenticarsi al proprio IdP Shibboleth inserendo come username il valore di uno dei seguenti campi LDAP: uid, mail.
Esempio:
- username: nome.cognome
- username: nome.cognome@example.org
Soluzione
Modificare opportunamente i seguenti valori di ldap.properties
:
Prima:
idp.authn.LDAP.userFilter = (uid={user})
idp.attribute.resolver.LDAP.searchFilter = (uid=$resolutionContext.principal)
Dopo:
idp.authn.LDAP.userFilter = (|(uid={user})(mail={user}))
idp.attribute.resolver.LDAP.searchFilter = (|(uid=$resolutionContext.principal)(mail=$resolutionContext.principal))
Una volta eseguita la modifica riavviare il Servlet Container (Jetty o Tomcat) per applicare il cambiamento.
CASO 2 - Restringere l'accesso a determinate Location su uno Shibboleth SP
Problema
Si vuole concedere l'accesso solamente a determinate istituzioni a specifiche Location
della propria risorsa federata.
Si deve installare e configurare un Discovery Service aggiuntivo che poi sarà utilizzato solamente per determinate Location
Esempio:
- https://sp.example.org/secure-all
(usa l'Embedded Discovery Service di Shibboleth per tutti gli istituti)
- https://sp.example.org/secure-limited
(usa un WAYF o Discovery Service Centralizzato per gli istituti ammessi)
Soluzione
DOC: https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2065334723/ContentSettings
<Location /secure-mfa>
ShibRequestSetting discoveryURL https://wayf.idem-test.garr.it/WAYF
Authtype shibboleth
ShibRequireSession On
require valid-user
</Location>