Shibboleth

wikipedia:シボレス

シボレス (英語: Shibboleth) は、インターネット2の「ミドルウェア構想」(Middleware Initiative)[1] の下で、連合アイデンティティによる認証・認可基盤のアーキテクチャとそのオープンソースによる実装を創出するプロジェクトである。記述にはセキュリティ・アサーション・マーク付け言語 (SAML) を用いる。連合アイデンティティによって、あるセキュリティ領域での利用者情報を、連合に属する他の組織へ提供することができる。これによって複数の領域にまたがるシングルサインオン (SSO) を実現でき、コンテンツの提供者ごとに利用者名やパスワードを保守する必要がなくなる。アイデンティティ・プロバイダ (IdP) が利用者の情報を提供し、サービス・プロバイダ (SP) がその情報を利用して保護されたコンテンツにアクセスできるようにする。


IISShibboleth SP をインストールする
https://blog.osstech.co.jp/posts/2021/05/shibbolethsp-iis/


Logout Discussion
https://docs.shib.ncsu.edu/docs/logout.html

Logout Discussion
Logging out from Shibboleth is complicated, because there are at least three levels of sessions you must consider for removal:

1. Your application session. For example: a Drupal site that checks shibboleth at login to create a session. Once the session is started, the login is not checked again. It is assumed that the user of that session is always the same.
2. Your Service Provider (SP) session. The SP on your server creates a session in memory, and tracks this session with a browser cookie.
3. The Identity Provider (IdP) session. When the user logs in to the IdP, they get a session cookie that lets the IdP remember that it has seen the user before. If the same user goes to login to another shibboleth SP, the IdP can reuse the login and pass the appropriate message to the new SP without another login.



opensaml::SecurityPolicyException: Message expired, was issued too long ago.
https://shibboleth.atlassian.net/wiki/spaces/SHIB2/pages/2577072495/NativeSPTroubleshootingCommonErrors

Barring an actual replay attack, your SP's clock isn't synchronized with the clock of the IdP that issued the message. All servers using SAML MUST maintain accurate time. Refer to your OS documentation for information on how to synchronize with a reliable time source.

shibbolethのエラーは、イベントビューアで確認できる?
アプリケーションとサービスログ>Shibboleth