Cette page est en cours d'écriture, de nombreuses fautes et informations non complètes sont encore présentes !
L'authentification fédérée avec Shibboleth permet d'ouvrir la connexion à votre instance de Pod à toutes personnes possédant un compte dans une fédération Shibboleth. Comme par exemple la Fédération Education - Recherche de Renater.
De manière pratique, une fois avoir demandé l'authentification sur l’application l’utilisateur sera redirigé vers un service de type WayF (découverte d'établissement) dans lequel il pourra choisir l'établissement dont il provient. Il sera ensuite redirigé vers le système d'authentification de son établissement puis vers l'application Pod dans laquelle il sera connecté avec son compte.
...
- https://services.renater.fr/federation/documentation/guides-installation/sp3/chap01 (Tutoriel tutoriel de Renater pour installer un SP en version 3, en Français), Jusqujusqu'au chapitre 5 (voire 6 si on veut mettre en place son propre WayF (=service de découverte d'établissement)).
- https://wiki.shibboleth.net/confluence/display/SP3/Installation (Installation par le Wiki de Shibboleth en Anglais)
...
| Info | ||
|---|---|---|
| ||
Il s'agit seulement d'une façon de faire, vous n'êtes pas obligé de mettre en place la communication entre Shibboleth et votre application de cette manière. Vous pouvez par exemple installer Shibboleth coté Nginx ou encore faire tourner votre instance de pod en utilisant le mod_wsgi de Apache et donc sans aucune utilisation de Nginx. Néanmoins, ces méthodes n'ont pas été testées et sont plus compliquées à mettre en place, libre à vous d'utiliser celle qui vous convient les le mieux selon vos besoins. |
Etape 1 :
...
configuration de Nginx
Dans un premier temps, il est nécessaire de changer le port sur lequel Nginx fonctionne. (puisqu'on veut que Apache soit frontal)
Dans le bloc server du fichier pod_nginx.conf il faut donc changer le port d'écoute. Dans cet exemple, le port 8080 a été choisi, mais libre à vous d'en choisir un autre. Il est également nécessaire d'activer l'option proxy_pass_request_header pour permettre la bonne transmissions transmission des headers entre Apache et Nginx. Vous devrez également activer underscores_in_headers.
...
underscores_in_headers on;
...
}Etape 2 :
...
configuration de Apache2
Coté apache (ou httpd), il faut configurer un VirtualHost (ou en modifiant le VirtualHost de base) ou configurer le httpd.conf si vous utilisez un serveur httpd.
...
Dans l'exemple ci-dessous, l'application pod sera accessible à partir de la route/et toutes les routes relations à Shibboleth seront accessibles par /shib (encore une fois, c'est modifiable selon vos besoins)
...
Pensez également à tester votre installation de Shibboleth en vous rendant sur /shib/secure, il s'agit d'une route de test qui vous permettre de vérifier le bon fonctionnement de votre SP.
Etape 3 :
...
configuration de Pod
Pour prendre en charge l'authentification avec Shibboleth dans 3, il faut paramétrer 5 settings.
...
Il est totalement possible de faire cohabiter différents types d'authentification, vous pouvez très bien activer CAS, Shibboleth et l'authentification locale en même temps.
A 
A partir de là, l'authentification Shibboleth devrait fonctionner correctement pour Pod. Si néanmoins des erreurs subsistent, pensez à regarder les logs de shibboleth-sp (/var/log/shibboleth) ou coté idp pour en connaitre la source.
| Info | ||
|---|---|---|
| ||
Si vous constatez un message d'erreur 502 Bad Request, vérifiez la taille des entêtes renvoyés. Pensez à réduire le fichier |