私はSSOを使用する予定の新しいSpringプロジェクトから始めています。私はブログを更新し、Spring Security SAML が SP に最適なソリューションになることを知りました。
そこで、Spring サイトhttps://github.com/SpringSource/spring-security-samlが提供する Spring Security SAML サンプル アプリケーションを SP として Shibboleth IDP と共に実装しました。
IDP は LDAP サーバーに接続します。Spring セキュリティ サンプル アプリケーションを実行できました。
この Spring セキュリティ SAML 拡張機能を複数の Spring プロジェクトと一緒に使用する方法がわかりません。
複数の Spring MVC アプリケーションとの Spring SAML プロジェクト統合の設計に関するリンクの例や提案は役に立ちます。
REST API が、それらと一緒にデプロイされた Web アプリケーションによってのみ呼び出される場合 (単一の戦争で、したがって同じ HTTP セッションを共有する)、Spring SAML + Spring Security を使用してそれらを保護できます。
Spring SAML は、リモート IDP に対してユーザーを認証し、資格 (許可された権限) を入力するために使用されます。その後、Spring Security を使用して、UI から呼び出される API のセキュリティ ポリシーを定義できます。
リモート クライアントから REST API を呼び出せるようにしたい場合は、Spring Security OAuth プロジェクトを調べることをお勧めします。これはもはや Web シングル サインオンに関するものではないためです。
すべての SSO ロジックを処理する Spring SAML の中央インストールを作成することができます。もちろん、Spring SAML が認証されたユーザーとその属性に関する情報を他のアプリケーションに中継するメカニズムを実装する必要があります。これは安全な方法で行います。これにアプローチする 1 つの可能な方法 (アプリケーションが同じドメインにデプロイされているため、Cookie を共有できる場合) は次のとおりです。
これはすべて、Spring Security および Spring SAML の標準インターフェースへの実装で実行できます。しかし、これは簡単な作業ではありません。主に、実装にセキュリティ上の脆弱性があると、アプリケーションのセキュリティが損なわれる可能性があることを考慮してください。