В настоящее время у меня есть экземпляр Канонической установленной Среды, и я хотел бы изменить метод аутентификации использовать Виа OpenID, 2016 ADFS.
Однако Среда предлагает эти две конфигурации в services.conf:
openid-provider-url = https://login.ubuntu.com/
openid-logout-url = https://login.ubuntu.com/+logout
Если я добавляю следующий URL:
openid-provider-url = https://<my_adfs_server>/adfs/oauth2/authorize/
Я Получаю ошибку:
Error in discovery: Error fetching XRDS document: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)>
Установка сертификата ADFS не решает мою проблему и поскольку нет никакого места для меня для конфигурирования clientId от ADFS OpenID.
Как возможно интегрировать Среду с ADFS через OpenID?
*PAM не является опцией, потому что я не могу соединиться непосредственно с AD.
Среда может быть настроена для использования OpenID и работ по умолчанию с UbuntuSSO. Это может быть настроено согласно https://help.landscape.canonical.com/LDS/ReleaseNotes12.09#OpenID_support
2016 ADFS использует "Подключение OpenID", которое отличается от "OpenID", используемого со Средой. К сожалению, в этой Среде времени не поддерживает "Подключение OpenID"
Вот больше о различиях: https://security.stackexchange.com/questions/44611/difference-between-oauth-openid-and-openid-connect-in-very-simple-term
Надежда это поможет
И .... Начиная с версии 19.10, Landscape может использовать OpenID-Connect (OIDC) для аутентификации пользователей. https://docs.ubuntu.com/landscape/en/onprem-auth#openid-connect-support