単一のWebサイトに複数のIdPを使用するようにShibboleth SPを設定できますか？

Question

Windows Server 2012上のIIS 8上で実行されているASP.NET Webサイトがあります。このWebサイトは、異なる会社によって使用されている単一のサイト（例：www.example.com）です。各企業にはサイト上に複数のユーザーがいます。

現在のところ、サイトの各ユーザーはウェブサイトにアカウントを作成する必要があり、それが認証方法です。

しかし、一部の企業では、ユーザーがShibboleth経由で認証されるようにしたいと考えています。私は過去にWindowsにShibboleth SPをインストールしましたが、サイト全体に対して単一のShibboleth IdPが存在するように設計されています。この場合、たとえば、ユーザAとBが1つのShibboleth IdPで認証され、ユーザX、Y、Zが異なるShibboleth IdPを使用する必要があります。

Windows上のShibboleth SPではこの設定が可能ですか？このシナリオを特に模索している良い例/チュートリアルはありますか？

Answer 1

Shibboleth Service Providerは、複数のIDプロバイダのユーザーを完全に処理できます。むしろ通常のユースケースは、多数のアイデンティティプロバイダと多くのサービスプロバイダがSAML 2.0アイデンティティフェデレーションに参加し、サービスプロバイダがすべての参加アイデンティティプロバイダからのすべてのユーザを信頼して認証する可能性があるということです。あなたのユースケースについては

、あなたが信頼を確立したいすべてのIDプロバイダからメタデータを取得し、信頼

• を確立

  1. する必要があります。あなたの名前、すべてのIDプロバイダでSSOを可能にするために、あなたのサービスプロバイダを可能にする <MetadataProvider type="XML" file="idpX-metadata.xml"/>

を次のように、あなたの設定ファイル（shibboleth2.xml）にラインを設定する必要があり、それぞれに

そこ。

2. ユーザーが所属するアイデンティティプロバイダ（会社）を選択できるようにします。あなたが埋め込まれた検出サービスを使用することができますので、これはどちらかに基づいて適切に

3. （hereを参照してください）（承認の理由で）別の会社から来るのユーザーを区別しますが、Shibbolethのサービスプロバイダを使用している場合ではなく、単純なことができる属性文の属性をスコープまたはアイデンティティプロバイダの実体識別子（SAMLアサーションの発行者は）

Shibboleth SP wikiは、すべての必要な情報を持っているでしょう。さらに、thisまたはthisのようなSPインストール/設定ガイドを確認することもできます。彼らはIDフェデレーションに参加すると仮定しますが、ユースケースでは、唯一の違いは、各アイデンティティプロバイダのメタデータファイルを持つ単一のメタデータファイル（フェデレーションメタデータ）があることです。