問題タブ [spring-saml]

複数のPRE_AUTHSpring Security フィルターが必要です。特に、Spring Security 3.0 の SAML 拡張でPRE_AUTH構成された 2 つのフィルターに加えて、フィルターを使用する必要があります。PRE_AUTH既存の SAML 構成は次のとおりです。

追加のPRE_AUTHフィルターは、既存のフィルターのいずれかの前にチェックする必要があります (つまり、この認証方法で認証されたユーザーには、SAML を使用する機会を与えてはなりません。

以下の方法で変更することを検討しました。

これは機能しますか、それともより複雑なソリューションが必要ですか。

最近、Spring SAML 2.0 を使用しているプロジェクトを継承しましたが、コードは X509 証明書を検証していないようです。タイムスタンプと署名値は検証していますが、証明書自体は検証していないことがわかります。証明書を検証するプロセスを明確に説明しているドキュメントを見つけるのに苦労しています。ここに誰かが私が探している情報を見つけることができる場所を持っているか、それを説明する能力を持っていますか.

Shibboleth を IDP として使用して、 Spring Saml ライブラリをサンプル Web アプリケーションに統合しようとしています。ログインページを読み込んでログインし、インデックスページを表示できます。

問題は、他のリンクをクリックすると、webapp がログイン ページにリダイレクトし、IDP が私を認識して要求されたページにリダイレクトすることです (ネットワークが高速な場合、これを確認するのは非常に困難です)。Spring セキュリティにログインしていないようです。

ログを確認したところ、次のことがわかりました。

org.springframework.security.web.context.HttpSessionSecurityContextRepository - HttpSession が SPRING_SECURITY_CONTEXT の null オブジェクトを返した 新しいものが作成されます。

これは web.xml です

および securityContext

何か案が？

ありがとうエマヌエーレ

Spring Security SAMLは、SAML認証リクエスト（ProtocolBinding属性）でアーティファクトバインディングをリクエストすることを要求します。

代わりにPOSTバインディングを構成するにはどうすればよいですか？答えてくれてありがとう！

-アンドレアス

Vaadinアプリケーションプロジェクトで、spring-security-SAML拡張機能を統合したいと思います。SpringSecurity拡張機能のページからソースコードをダウンロードしました。手動に基づいて、mvnパッケージを使用して拡張機能をパッケージ化し、mvndeployコマンドを使用してローカルのMavenリポジトリにデプロイしました。すべてがうまくいきます。コンパイルされた拡張機能がMavenリポジトリに表示されました。そこで、次のような依存関係としてプロジェクトpom.xmlファイルに含めました。

その後、mavenプロジェクトを更新し、maven依存関係ディレクトリ内にspring-security-saml2-core-1.0.0-RC1-SNAPSHOT.jarを見つけました（MavenでEclipse IDEを使用しています）。次に私がしたことは、appLicationContext.xmlファイルの編集でした。applicationContext.xmlファイルはweb.xmlに含まれています。そこで、appLicationContext.xmlファイルに以下の行を追加しました。

ファイルにこのような変更を加えた後、プロジェクトをwarアーカイブにコンパイルし、glassfishサーバーにアップロードしようとしました。しかし、エラーが発生しました。

私はそのような問題があるが異なるライブラリを持ついくつかのトピックを見つけました。誰も私の問題を解決するのを手伝ってくれませんでした。org.springframework.security.saml.SAMLAuthenticationProviderがwarアーカイブで見つからないか解決できなかったようです。しかし、手動で確認したところ、WEB-INF/libフォルダーspring-security-saml2-core-1.0.0-RC1-SNAPSHOT.jarで見つかりました。また、jarアーカイブ内をチェックして、SAMLAuthenticationProvider.classを見つけました。誰かが私の問題を解決するのを手伝ってくれますか？たぶん、Springセキュリティとsaml拡張の経験がある人がいるでしょう。

Vaadin spring-security SAML 認証システムに取り組んでいます。問題は、ユーザーが vaadin アプリのアドレスにアクセスすると (認証されていない場合)、IDP ログイン ページにリダイレクトする必要があることです。しかし、このリダイレクト (アドレスバーのアドレス変更) の代わりに、エラーが発生しました: ウィジェットセットの読み込みに失敗しました:

/my_vaadin_app/VAADIN/widgetsets/com.vaadin.terminal.gwt.DefaultWidgetSet/com.vaadin.terminal.gwt.DefaultWidgetSet.nocache.js?1359109584453

私の securityContext.xml ファイル

そして私の web.xml ファイル

なぜそのようなことが起こるのか、誰にも提案がありますか。vaadin はある種の内部リダイレクトのみを行い、外部リダイレクトを理解しないと読みました。

Spring saml 拡張機能を JSF 2.0 Web アプリケーションに統合しようとしています。この奇妙なエラーが発生します。

Spring mvc アプリ "java.lang.VerifyError"であるhttps://github.com/SpringSource/spring-security-samlにあるサンプル アプリケーションをデプロイできました 。

現在、変更を JSF アプリにプラグインしようとしていますが、表示されるのはアプリケーションの起動時だけです。

これがシナリオです。

Web アプリ <==> IDP プロキシ <==> IDP があります。IDP プロキシと IDP の両方が openam インスタンスです。アイデアは、追加の IDP (他のクライアントから) を追加する可能性があるため、複雑さを保護するためにプロキシが必要です。

したがって、IDP プロキシは次のとおりです。http://idpproxydev.devs1.int:8080/openam

IDP URL: http://idpdev.devs1.int:80/openam

私のウェブアプリは: http://ocr-jq0zt91.devs1.int:9081/LOS

統合のためにhttp://static.springsource.org/spring-security/site/extensions/saml/index.htmlの使用を開始し ましたが 、今では SAML: request wassent from my web app が表示されています。

私が現在抱えている問題は、Fedlet (IDP プロキシで Openam を使用して生成されたクライアント) を使用してセットアップをテストしたときに、リクエストがプロキシに送られ、Fedlet によって生成された SAML リクエストにその追加情報があるため、IDP にルーティングされることです。このスニペットは SAML リクエストにありますか

したがって、私が目にする唯一の違いは、FEDLET で生成された SAML 要求でのこの追加のペイロードです。

したがって、SAML 要求で上記のスニペットを確認することにより、IDP プロキシは、最終的な宛先がそれ自体 ( http://idpproxydev.devs1.int:8080/openam ) ではなく、この場合はhttp://idpdev である別のエンティティであることを認識します。 devs1.int:80/openam

Fedlet には、拡張メタデータ (sp-extended.xml) 用の追加のプロパティ ファイルがあり、これらの追加のものを追加できます。

ただし、春の saml セキュリティ ライブラリでは、これらの追加の属性を追加して、SAML リクエストにこの情報を含めることができる方法がわかりません。上記の追加属性をフィードする方法はありますか?

私のWebアプリがリクエストを送信したときにSpring saml拡張機能が読み取れるようにするには？

Okta は SAML ログイン用の IdP です。Okta のスーパー管理者ユーザーがいます。

Spring の saml-sample プロジェクトを SP (サービス プロバイダー) として使用しようとしています。Okta システムで構成するとき (spring-saml-sample)、「ポスト バック URL」、「受信者」、「対象者の制限」など、SP にいくつかのデータを提供する必要があります。

Okta のドキュメントを調べたところ、次のことがわかりました。

対象者の制限- これは、サービス プロバイダーのエンティティ ID です。これは SP によって提供され、正確に一致する必要があります。この情報を取得するには、SP のドキュメントを参照してください。

受信者– サービス プロバイダーのアサーション コンシューマー サービス URL を入力します。この情報を取得するには、SP のドキュメントを参照してください。したがって、この URL は http://srv101.watchdox.net/spring-security-saml2-sample/saml/SSO/alias/defaultAliasである必要があることがわかりました。

Post Back URL – これは SAML SP エンドポイントです (つまり、ユーザーがログインする場所)

SAML 応答の宛先– これは、saml アサーションの意図された宛先です。SP によって指定されない限り、これは通常、ポスト バック URL と同じです。この情報を取得するには、SP のドキュメントを参照してください。

問題：

私のアプリ (spring-saml-sample) には「ようこそ」ページがあり、ユーザーはログインに使用する IdP を選択します。したがって、「Okta」IdP を選択すると、Okta にリダイレクトされてログインします (ここまでは完璧です) が、ログイン後、アプリに (保護されたリソースに) リダイレクトされるのではなく、Okta にとどまります。システムとそのフレームワークを参照してください。そこに自分のアプリが表示されます。それをクリックすると、IdP を選択するための最初のページが表示されます。

問題は自分の URL または SAML 応答にあると思います。

役に立つかもしれない場合は、ここにリクエストとレスポンスを貼り付けます。

参考になるかもしれないので、ここに SAML リクエストとレスポンスを貼り付けました。応答のステータス コードが「成功」であることに注意してください。

何が間違っている可能性がありますか？私は何が欠けていますか？

リクエスト：

SAML リクエスト:

Okta の応答:

SAML レスポンス:

答えてくれてありがとう！