Recherche
Authentification
Configurations utilisées :
- Apache
RequestHeader set nuxeo-virtual-host "https://dsi-2.univ-rouen.fr/" ProxyPass /nuxeo ajp://localhost:8009/nuxeo <Location "/nuxeo"> AuthType shibboleth ShibRequireSession Off ShibUseHeaders On Require shibboleth </Location> <Location "/nuxeo/shibLogin"> ShibRequireSession On Redirect /nuxeo/shibLogin https://dsi-2.univ-rouen.fr/nuxeo </Location>
- nxserver/config/shibboleth-config.xml
<extension target="org.nuxeo.ecm.platform.shibboleth.service.ShibbolethAuthenticationService" point="config"> <config> <uidHeaders> <!--uidHeader idpUrl="url1">uid1</uidHeader> <uidHeader idpUrl="url2">uid2</uidHeader--> <default>eppn</default> </uidHeaders> <loginURL>https://dsi-2.univ-rouen.fr/nuxeo/shibLogin</loginURL> <logoutURL>https://dsi-2.univ-rouen.fr/nuxeo/logout</logoutURL> <fieldMapping header="eppn">username</fieldMapping> <fieldMapping header="mail">email</fieldMapping> </config> </extension>
-> l'authentification fonctionne comme cela.
le loginURL n'est pas mis à l'url du WAYF car :
- cela ne fonctionnait pas avec notre WAYF : cela me parait très dépendant de l'implémentation du WAYF (construction de l'URL différente d'un produit à un autre et d'une version à une autre)
- d'un point de vue d'architecture / exploitation, c'est au mod shib de faire la redirection sur un WAYF (ou directement sur un IDP d'ailleurs) à mon sens
Groupes
-> on déduit le fonctionnement de TestShibbolethComputedGroup.java (doc non trouvée)
Exemples qui fonctionnent :
true
currentUser.user.username == 'bonamvin@univ-rouen.fr'
Les EL expressions marchent bien ... mais cela ne semble définitvement pas assez souple, il nous faudrait quelque chose à base de regexp ou au moins il faudrait qu'on puisse faire des endsWith beginsWith, contains etc. ...
En effet on va avoir notamment pour des attributs multi-valués type affiliation des choses comme :
affiliation=employee@unicaen.fr;member@unicaen.fr
à suivre ...
Vue d'ensemble
Gestion des contenus