1

ログインシステムやユーザーオブジェクトなどを既に備えているアプリがあります。SAMLIDプロバイダーを使用して認証できるようにアプリを調整したいと思います。

そのためには、ユーザーをIDプロバイダーに送信してログインするページを作成する必要があります。これが私がこれまでにテストするために思いついたものです:

public String getSamlLoginPage() throws IOException, ConfigurationException {
    DefaultBootstrap.bootstrap();

    AuthnRequest authnRequest = buildSamlObject(AuthnRequest.DEFAULT_ELEMENT_NAME,AuthnRequestBuilder.class);

    String myResponseUrl = "http://localhost:8080/samltest/saml?action=samlLogin";
    String serviceProviderEntityId = "someProviderEntityId";


    // set information in request
    {
        authnRequest.setForceAuthn(false);
        authnRequest.setIsPassive(false);
        authnRequest.setIssueInstant(new DateTime());
        authnRequest.setDestination(myResponseUrl);
        authnRequest.setProtocolBinding(SAMLConstants.SAML2_ARTIFACT_BINDING_URI);
        authnRequest.setAssertionConsumerServiceURL(myResponseUrl);
        authnRequest.setID(""+UUID.randomUUID().getLeastSignificantBits());

        Issuer issuer = buildSamlObject(Issuer.DEFAULT_ELEMENT_NAME, IssuerBuilder.class);
        issuer.setValue(serviceProviderEntityId);
        authnRequest.setIssuer(issuer);

        NameIDPolicy nameIDPolicy = buildSamlObject(NameIDPolicy.DEFAULT_ELEMENT_NAME, NameIDPolicyBuilder.class);
        nameIDPolicy.setSPNameQualifier(serviceProviderEntityId);
        nameIDPolicy.setAllowCreate(true);
        nameIDPolicy.setFormat("urn:oasis:names:tc:SAML:2.0:nameid-format:transient");
        authnRequest.setNameIDPolicy(nameIDPolicy);

        RequestedAuthnContext requestedAuthnContext = buildSamlObject(RequestedAuthnContext.DEFAULT_ELEMENT_NAME,RequestedAuthnContextBuilder.class);
        requestedAuthnContext.setComparison(AuthnContextComparisonTypeEnumeration.MINIMUM);

        AuthnContextClassRef authnContextClassRef = buildSamlObject(AuthnContextClassRef.DEFAULT_ELEMENT_NAME,AuthnContextClassRefBuilder.class);
        authnContextClassRef.setAuthnContextClassRef("urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport");

        requestedAuthnContext.getAuthnContextClassRefs().add(authnContextClassRef);
        authnRequest.setRequestedAuthnContext(requestedAuthnContext);
    }



    String samlRequestStr = XMLUtil.doc2String( authnRequest.getDOM() );
    byte[] samlRequest = samlRequestStr.getBytes();  // <samlp:AuthnRequest>

    ByteArrayOutputStream bout = new ByteArrayOutputStream(500);
    Base64.encode(samlRequest,bout);

    return
        "<html><body>"
        +"<form method=\"post\" action=\"https://idp.example.org/SAML2/SSO/POST\">"
            +"  <input type=\"hidden\" name=\"SAMLRequest\" value=\""+ bout.toString() +"\" />"
//                +"  <input type=\"hidden\" name=\"RelayState\" value=\"someToken\" />"
            +"  <input type=\"submit\" value=\"Submit\" />"
            +" </form>"
        +"<body></html>";
}

private <SAMLObjectType extends SAMLObject, BuilderT extends SAMLObjectBuilder<SAMLObjectType>> SAMLObjectType buildSamlObject(javax.xml.namespace.QName defaultElementName, Class<BuilderT> type) {
    XMLObjectBuilderFactory builderFactory = org.opensaml.Configuration.getBuilderFactory();
    BuilderT requestBuilder = (BuilderT)builderFactory.getBuilder(defaultElementName);
    return requestBuilder.buildObject();
}

実際のIDプロバイダーを指すようにアクションを変更する必要があります。それを超えて、私はRequestオブジェクトに何を入れることになっていますか?必要なのは、IDプロバイダーがユーザーが実際のユーザーであることを確認し(IDプロバイダーで電子メールとパスワードを使用してログインする)、その電子メールアドレスと私ができる何らかの署名を私に伝えることだけです。検証して、ユーザーがIDプロバイダーによって検証されたことを証明します。

ユーザーに関する他のすべての情報はローカルに保存されるため、必要なのは電子メールとidp署名だけです。

4

1 に答える 1