https://services.renater.fr/federation/documentation/generale/shib-et-reverseproxy

mettre en place un reverse-proxy Service Provider mod-shib a partir duquel se feraient les authentifications et passages d'attributs vers le service final où il ne serait plus necessaire d'installer un mod_shib localement, bref centraliser l'authentification shibboleth sur une SP proxy vers les services finaux .

la variable d'environnement REMOTE_USER n'est disponible qu'au sein du service où se trouve le module d'authentification. Pour transmettre cette information en proxy il faut que la valeur transite dans un en-tête HTTP (ce qui est configurable avec le module shibboleth : ShibUseHeaders On) et du côté de l'application située sur le serveur protégé, que cet en-tête HTTP soit reconvertie en variable d'environnement REMOTE_USER (si l'application en question n'est pas capable de récupérer la valeur directement dans l'en-tête HTTP).