Как правильно подготовить запрос SAML «HTTP Redirect Binding», используя Java?
1
Есть несколько тестовых ресурсов, таких как http://sometestresource.com Я делаю запрос на авторизацию на http://sometestresource.com/Login и я перенаправляюсь к провайдеру idP: http://someidpprovoder.com/idp/authn/CommonLogin
Sniffer обнаруживает перенаправление на https://someidpprovoder.com/idp/profile/SAML2/Redirect/SSO
SAMLRequest=fZJda...D&RelayState=https%3A%2F%2Fwww.sometestresource.com%2Fcms%2Fextentions%2Fsimplesaml%2Fwww%2Fmodule.php%2Fcore%2Fauthenticate.php%3Fas%3D100000za-sp
&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1
&Signature=dAx0M...D
Хорошо, я написал простое приложение сервлета, и я хочу получить ту же функциональность - профиль SSO для веб-браузера.
Сервлета ServiceProvider:
@WebServlet(urlPatterns={"/ServiceProvider"},
initParams={ @WebInitParam(name="Issuer", value="some.issuer"),
@WebInitParam(name="IdpUrl", value="https://someidpprovoder.com/idp/profile/SAML2/Redirect/SSO"),
@WebInitParam(name="ConsumerUrl", value="http://localhost:8080/com.secure.isusia-1.0-SNAPSHOT/ServiceProvider")
} )
public class ServiceProvider extends HttpServlet {
private static final long serialVersionUID = 1L;
private SamlConsumerManager consumer;
public void init(ServletConfig config) throws ServletException {
try {
consumer = new SamlConsumerManager(config);
} catch (ConfigurationException e) {
throw new ServletException("Errow while configuring SAMLConsumerManager", e);
}
}
protected void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException,
IOException {
doPost(request, response);
}
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String responseMessage = request.getParameter("SAMLResponse");
if (responseMessage != null) {
// response from the identity provider
if (result == null) {
// lets logout the user
} else if (result.size() == 1) {
//
// No user attributes are returned, so just goto the default
//home page.
//
} else if (result.size() > 1) {
// We have received attributes, so lets show them in the
// attribute home page.
//
} else {
// something wrong, re-login
}
} else {
/* time to create the authentication request or logout request */
}
}
}
Мой SamlConsumerManager:
public class SamlConsumerManager {
private String consumerUrl;
private String authReqRandomId;
private String relayState;
private String issuerId;
private String idpUrl;
private char[] password = "...".toCharArray();
private String alias = "...";
private String sigAlg = "http://www.w3.org/2000/09/xmldsig#rsa-sha1";
private Signature signature;
private BasicX509Credential credential;
private Element authDOM;
public SamlConsumerManager(ServletConfig servletConfig) throws ConfigurationException {
authReqRandomId = Integer.toHexString(new Double(Math.random()).intValue());
consumerUrl = servletConfig.getInitParameter("ConsumerUrl");
idpUrl = servletConfig.getInitParameter("IdpUrl");
issuerId = servletConfig.getInitParameter("Issuer");
DefaultBootstrap.bootstrap();
}
public String buildRequestMessage(HttpServletRequest request) {
RequestAbstractType requestMessage = null;
if (request.getParameter("logout") == null) {
// time to build the authentication request message
} else {
// ok, user needs to be single logged out
}
String encodedRequestMessage = encodeRequestMessage(requestMessage);
/* SAML2 Authentication Request is appended to IP URL */
return idpUrl + "?SAMLRequest=" + encodedRequestMessage + "&SigAlg=" + sigAlg;
}
private LogoutRequest buildLogoutRequest(String user) {
LogoutRequest logoutReq = new LogoutRequestBuilder().buildObject();
logoutReq.setID(Util.createID());
DateTime issueInstant = new DateTime();
logoutReq.setIssueInstant(issueInstant);
logoutReq.setNotOnOrAfter(new DateTime(issueInstant.getMillis() + 5 * 60 * 1000));
IssuerBuilder issuerBuilder = new IssuerBuilder();
Issuer issuer = issuerBuilder.buildObject();
issuer.setValue(issuerId);
logoutReq.setIssuer(issuer);
NameID nameId = new NameIDBuilder().buildObject();
nameId.setFormat("urn:oasis:names:tc:SAML:2.0:nameid-format:entity");
nameId.setValue(user);
logoutReq.setNameID(nameId);
SessionIndex sessionIndex = new SessionIndexBuilder().buildObject();
sessionIndex.setSessionIndex(UIDGenerator.generateUID());
logoutReq.getSessionIndexes().add(sessionIndex);
logoutReq.setReason("Single Logout");
return logoutReq;
}
private AuthnRequest buildAuthnRequestObject() {
/* Building Issuer object */
IssuerBuilder issuerBuilder = new IssuerBuilder();
Issuer issuer = issuerBuilder.buildObject("urn:oasis:names:tc:SAML:2.0:assertion", "Issuer", "samlp");
issuer.setValue(issuerId);
/* NameIDPolicy */
NameIDPolicyBuilder nameIdPolicyBuilder = new NameIDPolicyBuilder();
NameIDPolicy nameIdPolicy = nameIdPolicyBuilder.buildObject();
nameIdPolicy.setFormat("urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");
nameIdPolicy.setSPNameQualifier("Isser");
nameIdPolicy.setAllowCreate(new Boolean(true));
/* AuthnContextClass */
AuthnContextClassRefBuilder authnContextClassRefBuilder = new AuthnContextClassRefBuilder();
AuthnContextClassRef authnContextClassRef = authnContextClassRefBuilder.buildObject(
"urn:oasis:names:tc:SAML:2.0:assertion",
"AuthnContextClassRef",
"saml");
authnContextClassRef.setAuthnContextClassRef("urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport");
/* AuthnContex */
RequestedAuthnContextBuilder requestedAuthnContextBuilder =
new RequestedAuthnContextBuilder();
RequestedAuthnContext requestedAuthnContext = requestedAuthnContextBuilder.buildObject();
requestedAuthnContext.setComparison(AuthnContextComparisonTypeEnumeration.EXACT);
requestedAuthnContext.getAuthnContextClassRefs().add(authnContextClassRef);
DateTime issueInstant = new DateTime();
/* Creation of AuthRequestObject */
AuthnRequestBuilder authRequestBuilder = new AuthnRequestBuilder();
AuthnRequest authRequest =
authRequestBuilder.buildObject("urn:oasis:names:tc:SAML:2.0:protocol",
"AuthnRequest", "samlp");
authRequest.setForceAuthn(new Boolean(false));
authRequest.setIsPassive(new Boolean(false));
authRequest.setIssueInstant(issueInstant);
authRequest.setProtocolBinding("urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST");
authRequest.setAssertionConsumerServiceURL(consumerUrl);
authRequest.setIssuer(issuer);
authRequest.setNameIDPolicy(nameIdPolicy);
authRequest.setRequestedAuthnContext(requestedAuthnContext);
authRequest.setID(authReqRandomId);
authRequest.setVersion(SAMLVersion.VERSION_20);
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
FileInputStream fileInputStream = new FileInputStream(new File("....jks"));
keyStore.load(fileInputStream, password);
fileInputStream.close();
KeyStore.PrivateKeyEntry privateKeyEntry = null;
privateKeyEntry = (KeyStore.PrivateKeyEntry) keyStore.getEntry(alias, new KeyStore.PasswordProtection(password));
PrivateKey privateKey = privateKeyEntry.getPrivateKey();
X509Certificate certificate = (X509Certificate) privateKeyEntry.getCertificate();
credential = new BasicX509Credential();
credential.setEntityCertificate(certificate);
credential.setPrivateKey(privateKey);
try {
DefaultBootstrap.bootstrap();
} catch (ConfigurationException e) {
e.printStackTrace();
}
signature = (Signature) org.opensaml.xml.Configuration.getBuilderFactory().getBuilder(org.opensaml.xml.signature.Signature.DEFAULT_ELEMENT_NAME)
.buildObject(org.opensaml.xml.signature.Signature.DEFAULT_ELEMENT_NAME);
signature.setSigningCredential(credential);
signature.setSignatureAlgorithm(SignatureConstants.ALGO_ID_SIGNATURE_RSA_SHA1);
signature.setCanonicalizationAlgorithm(SignatureConstants.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
authRequest.setSignature(signature);
return authRequest;
}
private String encodeRequestMessage(RequestAbstractType requestMessage)
throws MarshallingException,
IOException {
Marshaller marshaller = Configuration.getMarshallerFactory().getMarshaller(requestMessage);
Element authDOM = marshaller.marshall(requestMessage);
Deflater deflater = new Deflater(Deflater.DEFLATED, true);
ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
DeflaterOutputStream deflaterOutputStream =
new DeflaterOutputStream(byteArrayOutputStream,
deflater);
StringWriter rspWrt = new StringWriter();
XMLHelper.writeNode(authDOM, rspWrt);
deflaterOutputStream.write(rspWrt.toString().getBytes());
deflaterOutputStream.close();
/* Encoding the compressed message */
String encodedRequestMessage =
Base64.encodeBytes(byteArrayOutputStream.toByteArray(),
Base64.DONT_BREAK_LINES);
return URLEncoder.encode(encodedRequestMessage, "UTF-8").trim();
}
}
Однако вместо страницы входа из моего idP я получаю страницу с ошибкой.
Что я делаю не так? Я хотел бы знать, как правильно подготовить запрос на авторизацию. Например, я не понимаю, как добавить подпись в URL-адрес:
&Signature=dAx0M...D
Я был бы очень благодарен за помощь. Спасибо всем.
Обновить
- Я использую SP- инициированный веб-SSO.
- Удаленный idP на основе Shibboleth (На стороне клиента, об этом я ничего не знаю. Только то, что оно было написано на основе Shibboleth).
1 ответ
1
Лучший ответ
Вам нужно подписать свою подпись,
в buildAuthnRequestObject под authRequest.setSignature(signature);
Добавить
Configuration.getMarshallerFactory().getMarshaller(authRequest).marshall(authRequest);'
if(signature!=null) {
Signer.signObject(signature);
}
Signer - org.opensaml.xml.signature.Signer
** Обновить **
Отправка перенаправления с помощью SAMLMessageContext и HTTPRedirectDeflateEncoder
public void doAuthenticationRedirect (HttpServletResponse response, final HttpSession currentSessiond) throws Exception {
/** Generate your authnrequest **/
AuthnRequest authnRequest = generateAuthnRequest();
/** Create an adapter from tomcat response servlet **/
HttpServletResponseAdapter responseAdapter = new HttpServletResponseAdapter(response, true);
/** 302 status code **/
responseAdapter.setStatusCode(HttpServletResponse.SC_MOVED_TEMPORARILY);
/** Build blank context **/
SAMLMessageContext<?, AuthnRequest, ?> context = SAMLUtility.makeSamlMessageContext();
/** Set entity end point**/
context.setPeerEntityEndpoint(endpointObject);
context.setOutboundSAMLMessage(authnRequest);
/** Sign this request **/
context.setOutboundSAMLMessageSigningCredential(getSigningCredential());
context.setOutboundMessageTransport(responseAdapter);
/** Run encoder **/
try {
runEncoder(new HTTPRedirectDeflateEncoder(), context);
} catch (Throwable t) {
Log.error("Error endcoding AuthnRequest: ",t);
}
}
/**
* Encode our Context and send it
*
* @param encoder
* @param context
* @throws IOException
* @throws MessageEncodingException
*/
private void runEncoder(MessageEncoder encoder, MessageContext context) throws IOException, MessageEncodingException {
encoder.encode(context);
}
И heres makeSamlMessageContext() если вам это нужно
public static <TI extends SAMLObject, TO extends SAMLObject, TN extends SAMLObject>
SAMLMessageContext<TI, TO, TN> makeSamlMessageContext() {
return new BasicSAMLMessageContext<TI, TO, TN>();
}
Patrick M
Поделиться
-
0Благодарю за ваш ответ! Я постараюсь сделать, как вы сказали.Aleksey Bykov
-
0Но до сих пор. Я получаю то же самое - перенаправление на страницу с сообщением об ошибке.Aleksey Bykov
Показать ещё 6 комментариев
Ещё вопросы
- 0Проблема установки ImageMagick для PHP на Windows
- 1Скачать файл и сохранить на диск не работает
- 1Передача коллекции абстрактного класса в качестве параметра в функцию
- 1Сбой Android Lint для скриптов Gradle на основе Kotlin
- 0Почему изменение переменной AngularJS прошло успешно, но безрезультатно? [Дубликат]
- 0Selenium IDE Xpath против веб-драйвера Xpath
- 0Разница между методами clear () и erase () вектора в c ++?
- 0Удалите «\ 1» в конце строки буфера и не показывайте значение - WinAPI и C ++
- 0Как мы можем ограничить каждое конкретное значение в одном столбце в SQL [дубликата]
- 1Обрабатывать ложные аргументы
- 1Как определить, когда сообщение было отправлено в Акке
- 1расчет тепловой карты панд на море
- 0Объединить результаты двух таблиц, имеющих разную структуру
- 0JQuery Content Switcher (не может заставить работать форму контакта внутри)
- 1динамическое условие if из строки [duplicate]
- 0Google Map API не загружается, когда скрипт на той же HTML-странице
- 1Динамически зарегистрированный метод ловушки onReceive () получателя широковещания не вызывается
- 1Ошибка в библиотеке, созданной с помощью jitpack: невозможно разрешить зависимость для ': app @ debug / compileClasspath'
- 1Отображение диалога MahApps.Metro из модели представления
- 1Build.gradle Не удалось разрешить com.android.support
- 1Простая клиент-серверная программа с каналами NIO
- 1Javascript столкновение двухугольников массива точек
- 0Настраиваемая ошибка Создание дубликатов
- 0aws mysql проблема с соединением для сайта azure
- 1Запустите процесс / URI из IIS в сеансе рабочего стола
- 1D3 с пользовательским элементом: TypeError: t is null
- 1Правильный способ передачи ошибок обратно в вызывающий код
- 0Клавиатура «Размах» Javascript Event
- 0Записать переменные JavaScript в файл JSON
- 1Массив для сортировки рекордов
- 0Отобразить проблемы встроенного блока
- 0Включите многострочное текстовое поле, чтобы заполнить форму при вводе ключа в asp.net Webforms
- 1Заполнить перфорированную форму в изображении, используя библиотеки Python?
- 1Прогнозирование отсутствия активности клиентов
- 0Перевернуть двусвязный список между заданными узлами
- 0проверка размера массива символов c ++
- 0изменить скорость animate (), пока она анимируется, и наводить курсор на элемент
- 0Извлечение SEO URL с использованием pre_mattch_all
- 0как я могу отобразить содержимое этой вкладки на основе события
- 0Редактирование ссылки на переданный аргумент не обновляет модель
- 0Доступ к области действия из другой директивы
- 1Несколько графиков на одной странице, ошибка масштаба в D3.js
- 1Как я могу получить размеры GridBagLayout?
- 0Беда с setlocale
- 0c ++ - повторное использование std :: fstream
- 0Диалоговое окно jQuery UI, не закрывать и не выполнять
- 1Pyspark - отдельные записи на основе 2 столбцов в датафрейме
- 0Угловая Http Get с параметром
- 1Элемент управления <DNN: ICON> не поддерживает CssClass
- 1Discord.py Бот отправляет файл на канал Discord
