[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00890] Re: Shibboleth SPのreturnパラメータによるオープンリダイレクタ
- Subject: [upki-fed:00890] Re: Shibboleth SPのreturnパラメータによるオープンリダイレクタ
- Date: Wed, 21 Jan 2015 19:48:16 +0900
- From: Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx>
NII 西村様
やはりShibboleth SPの設定にあったのですね。
私の検索が今ひとつだったようです。
無事に動作しました。どうもありがとうございました。
# Shibboleth SPを作るときには基本、適用しておいたほうが望ましい設定ですね。
細川
On 2015/01/21 11:41, Takeshi NISHIMURA wrote:
> 細川様
> NIIの西村です。
>
> 返信遅くなりましてすみません。
> 最近のShibboleth SPであればredirectLimitというのがあります。
> https://meatwiki.nii.ac.jp/confluence/x/Gguc#id-設定・運用・カスタマイズ-オープンリダイレクタとなりうる問題の対処
>
> こちらで所望の動作は実現できますでしょうか。
>
> On 2015/01/19 20:38, Tatsumi Hosokawa wrote:
>> 慶應義塾ITC本部の細川です。
>>
>> Shibboleth SPのreturnパラメータは、シングルログアウトもどきをやるには便利なのですが、
>>
>> https://SPサーバ名/Shibboleth.sso/Logout?return=任意のURL
>>
>> というURLを叩くと任意のURLにジャンプできてしまい、
>> オープンリダイレクタとして、あまりよろしくない状態です。
>>
>> そこでとりあえずApacheのmod_rewriteを使って、
>>
>> RewriteEngine on
>> RewriteMap unescape int:unescape
>> RewriteCond ${unescape:%{QUERY_STRING}} !return=https://IdPのホスト名/idp/profile/Logout
>> RewriteCond ${unescape:%{QUERY_STRING}} return=
>> RewriteRule .* http://エラーで飛んでも怒られないサーバ/? [R=302,L]
>>
>> のようにIdPのログアウトURL以外にはリダイレクトされないようにしてみたのですが、
>> もっと正しい/簡単なやり方はあるのでしょうか?
>>
>> よろしくお願いいたします。
>
--
慶應義塾ITC本部 細川達己 xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685 Fax. 03-5427-1722