OAuth: login failed No such service Auth0
dokuwiki\plugin\oauth\Exception at /var/www/dokuwiki/lib/plugins/oauth/OAuthManager.php:312
#0 /var/www/dokuwiki/lib/plugins/oauth/OAuthManager.php(26): dokuwiki\plugin\oauth\OAuthManager->loadService()
#1 /var/www/dokuwiki/lib/plugins/oauth/action/login.php(70): dokuwiki\plugin\oauth\OAuthManager->startFlow()
#2 /var/www/dokuwiki/inc/Extension/EventHandler.php(80): action_plugin_oauth_login->handleStart()
#3 /var/www/dokuwiki/inc/Extension/Event.php(75): dokuwiki\Extension\EventHandler->process_event()
#4 /var/www/dokuwiki/inc/Extension/Event.php(133): dokuwiki\Extension\Event->advise_before()
#5 /var/www/dokuwiki/inc/Extension/Event.php(200): dokuwiki\Extension\Event->trigger()
#6 /var/www/dokuwiki/doku.php(125): dokuwiki\Extension\Event::createAndTrigger()
#7 {main}

Certifikáty

V typické instalaci Shibboleth IdP/SP potřebujete X.509 certifikát, kterým se entita identifikuje v rámci federace.

Certifikát musí splňovat následující požadavky:

  • být platný,
  • klíč o délce alespoň 2048 bitů,
  • používat podpis SHA-2 a lepší.

Doporučujeme používat tzv. Self-Signed certifikát s platností 10 let.

Plynulá výměna certifikátů v metadatech

V případě, že potřebujete vyměnit certifikát v metadatech IdP nebo SP, pokud to provedeme klasickým způsobem, tj. metadata IdP/SP jednoduše vyměníme, vznikne časové okno, během kterého nebude služba (ať už aplikace či autentizace) dostupná. Stane se tak, protože IdP/SP už používá nový certifikát, zatímco ostatní IdP/SP mají k dispozici ten starý, dokud neprovedou aktualizaci metadat.

Řešením je udržovat po nějakou dobu v metadatech oba certifikáty, tedy stávající (= starý) a nový.

Vynikající návod v angličtině i s diagramy najdete na stránkach SWITCH.