Hej alla SAML-gurus.

Vi har på Örebro universitet påbörjat arbetet med att ersätta vår gamla Shibboleth-IdP (version 4.x) med en ny 5.1.3 och allt har gått bra och vi är nästan redo att byta ut https://idp.oru.se mot https://shib-idp-1.oru.se, men vi har en detalj kvar att lösa. Återautentisering fungerar inte.

Den gamla IdP:n är en Gluu Server som består av flera paketerade komponenter, bl.a Shibboleth IdP 4.3.1?, OpenDJ (LDAP-server) och Passport.js. Passport.js används för OpenIDConnect, både som OP (mot Shibboleth-servrarna) och RP (för autentisering mot Entra och Freja eID+).
Målsättningen vi har är att sätta upp den nya IdP:n och använda oss av OIDC för autentisering mot den gamla IdP:n och inaktivera den inbyggda Shibboleth-IdP:n.
För att få OIDC att fungera har vi installerat de plugins som behövs och konfigurerat så att det fungerar som vi vill. Autentisering fungerar perfekt, men som sagt, återautentisering fungerar inte.

Det som händer vid återautentisering är att man, som förväntat, tvingas autentisera igen men när det är klart landar man på inloggningssidan igen.
Det verkar som att vår OIDC OP inte vet var man ska omdirigeras efter lyckad återautentisering men vi hittar inga fel i några loggar och på vår nya IdP händer ingenting i loggen efter att man omdirigerades till OP:n.

En skillnad mellan vår nya IdP och den gamla är att vi nu använder oss av net.shibboleth.idp.plugin.oidc.xxx för att delegera autentisering till Passport.js istället för Gluu's oxAuth saml-passport.
Vi gissar att vi är ganska ensamma om denna setup men hoppas att någon annan kanske har erfarenheter gällande Shibboleth-IdP 5.x och OIDC och kanske har stött på liknande problem.



Med vänliga hälsningar
Jonny Ehrnberg och Tomas Liljebergh