云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

分布式数据库_qq企业邮箱免费_哪个好

小七 141 0

分布式数据库_qq企业邮箱免费_哪个好

本文档描述了使用可信身份验证将Shibboleth(SAML2联合身份验证/身份提供者)与BI平台集成以实现SSO(在web浏览器中,不绑定到Active Directory)所需的步骤。

本文档假设您已经:

示例Tomcat服务器.xml(仅相关件)

示例Shibboleth2.xml(仅相关部分)

示例httpd.conf文件(仅适用于相关章节)

示例ssl.conf文件(仅适用于相关章节)

BIP配置

3。把共享的秘密文件,委托人.conf在WEB服务器上,此目录

D:\BI4\SAP BusinessObjects Enterprise XI 4.0\win32\U x86\

4。遵循SAP文档1593628,使用查询字符串

测试SSOsso.enabled=真

可信的.auth.user.param=用户

可信的.auth.user.retrieval=QUERY_STRING

b.保存,然后重新启动Tomcat

c.现在应该可以使用URL进入启动板(例如:

)https://myserver.mydomain.com:4443/BOE/BI?user=myuser

d。这表明所有受信任的身份验证块都在工作,没有Shibboleth

5。要将所有内容放在一起,请更新全局.properties所以看起来像这样

sso.enabled=真

可信的.auth.user.retrieval=远程用户

6。如果遇到问题,可以使用/shib目录(在Tomcat\webapps\下创建)来查看使用JSP从Apache/Shibboleth传递的值,例如

Login page setup

https://yourserver.yourdomain.com/Shibboleth.sso/Logout?return=yourIDPlogoutURL

4。停止/重新启动Tomcat

5。无论您以哪种方式登录,都会被重定向到Shibboleth注销。这样做是为了处理通过不同方法登录/注销时出现的奇怪问题。

如果文档解释了为什么要这样做以及出于什么业务目的、Shibboleth是什么以及它如何帮助BOE systems等,返利微信,这将很有帮助。

感谢您的建议,我在顶部加了一点,澄清了一些其他的问题。

嗨,布莱恩,

我需要把Okta和BOBJ BI-Tomcat作为一个服务提供商进行整合。你能帮我做一些逐步的说明吗?

Rgds,

阿里

希尔先生在这里有个很好的向导(谢谢!)*但是*它确实假设SAML的一些工作知识来填补空白。

我要补充的是,让这个设置与Okta(或任何其他)这样的商业IdP一起工作的最重要的一点是使用提供者的"属性语句"为定义的应用程序映射一个属性(或一组属性)。然后,在Shibboleth SP端,确保编辑'/etc/Shibboleth/attribute-地图.xml'以反映所选属性。如果没有这些额外的步骤,您只有Shibboleth提供的开箱即用的属性,物联网解决方案,其中不包括本指南中远程用户值引用的"uid"之类的内容(基于LDAP的设置除外)。下面是添加到属性-地图.xml:

如果在IdP和Shibboleth SP之间没有正确的属性分配和映射,您将非常疑惑为什么没有填充任何内容并通过远程用户传递。为了让这个设置与Okta一起工作,还需要做一些其他的事情。

第一件事是,买云服务器,在这个BOBJ/Tomcat/Apache/Shibboleth设置中使用Okta不推荐的SAML2应用程序模板比使用他们更新的向导更有帮助,因为它在定义属性语句时提供了更多的字段灵活性要传递到SP,请确保两次或三次检查"回发URL"、"收件人"、"访问限制"、"目的地"或"默认中继状态"等字段是否不匹配。当你试图传递断言时,有一个或多个不正确的定义可能会让你陷入一个受伤的世界(无限重定向循环不是解决问题的乐趣)。

参考BOBJ的本指南和Okta推荐的、不推荐使用的SAML2应用程序模板,典型的输入如下:

回发、收件人和目的地网址:https://:443/Shibboleth.sso/SAML2/POST文件

(这通常称为断言使用者服务,或ACS,终结点)

访问群体限制和默认中继状态URL:

https://:443/BOE/BI

(访问群体限制假设"…/BOE/BI"URL是您在"shibboleth2.xml"中为SP选择的"entityID"。如果始终/仅SP启动身份验证,则无需定义默认中继状态)

模板中的其他(可能需要)注释字段:

名称ID格式=瞬态

authnContextClassRef=PasswordProtectedTransport

请求=压缩

属性stations=uid|${用户名}

第二个重要的部分是从Okta下载元数据文件并确保加载Apache使用的虚拟SSL主机的证书(参考443和4443)。如果您以前没有在shibboleth2.xml中乱搞过,那么可能无法100%清楚在何处以及如何引用IdP元数据。SSO"entityID"应与元数据中引用的相同(即。),您可以像这样直接从文件系统引用元数据文件(请注意,即使在Windows平台上,前斜杠也很重要):

Apache虚拟SSL主机的证书/密钥在"httpd"中定义-ssl.conf文件'这样的文件:

SSLCertificateFile"c:/Apache24/conf/证书.crt"

SSLCertificateKeyFile"c:/Apache24/conf/私钥"

当然证书应该来自客户端浏览器信任的CA。如果证书是自签名的,而客户端没有可信的根CA,那么标准的浏览器警告可能会导致IdP和SP之间的SAML断言交换(重试、超时等)中断。Okta也有一个内置的BOBJ安全Web验证模板,但它需要一个浏览器插件,我的免费云,并且不像本指南中的设置那样使用SAML。