<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jun 18, 2013 at 4:38 PM, L B <span dir="ltr"><<a href="mailto:bertignac@gmail.com" target="_blank">bertignac@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>The goal here is to have SSO on RT between a local user directory (AD) and an RT instance installed in the amazon cloud.</div>
<div><br></div><div>I've setup mod_mellon ( <a href="https://code.google.com/p/modmellon/" target="_blank">https://code.google.com/p/modmellon/</a> ) with RT as a relying party on AWS  and it works well, I'm able to log in with SSO (IdP used on premise is ADFS). </div>


<div><br></div><div>I just had to configure RT with:</div><div><div>Set($WebExternalAuth , 1);</div><div>Set($WebFallbackToInternalAuth , 1);</div><div>Set($WebExternalAuto , 1);<br></div><div><br></div></div><div>
so it uses the REMOTE_USER variable to login.</div>
<div><br></div><div>I have three problems now:</div><div>- populating users info: <br></div><div> I think I can get some environment variables out of the SAML token with mod_mellon configuration like this:</div>

<div><pre style="white-space:pre-wrap;word-wrap:break-word"> MellonSetEnv "e-mail" "mail"</pre><div> But then I don't know how to populate this into RT.</div></div></div></blockquote><div><br></div>
<div style>Solution:</div><div style>1) With code. Grep for REMOTE_USER in RT source code and you'll find places where you can inject code to extract information mellon puts into ENV and put it into RT's tables. As far I recall remote user variable handled in one or two places.</div>
<div style><br></div><div style>2) No coding - use ExternalAuth module to extract info. It can work this way - info extraction only mode without auth. Info is updated on login into UI.</div><div style><br></div><div style>
3) No coding - use LDAPImport to bring in users' data. Info is updated as often as you run the script. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>- logout waits 1 second (default), and go back to login page, so I'm authenticated again. I think I need to change the logout link in the code?</div></div></blockquote><div><br></div><div style>Yes. Very specific to setup, so there is no direct solution that works for everybody.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>- SSO is always used and I'd like a way to do a local login (with root for example which is not in our user directory). I'm not sure how to do this yet.</div>
</div></blockquote><div><br></div><div style>Host second RT as a virtual host on different URL without SSO. Only people with passwords in RT's database would be able to use this interface.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">

<div><br></div><div>Has anyone played with this and went further than I did?<br></div><div><br></div><div>Thanks,</div><span class="HOEnZb"><font color="#888888">-- <br>L.B.
</font></span></div>
<br><br>
<br>
--<br>
RT Training in Seattle, June 19-20: <a href="http://bestpractical.com/training" target="_blank">http://bestpractical.com/training</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Best regards, Ruslan.
</div></div>