問題タブ [spring-saml]

Spring Security SAML ExtensionをSpring Bootと統合しようとしています。

問題については、完全なサンプル アプリケーションを開発しました。そのソース コードは GitHub で入手できます。

• GitHub の spring-boot-saml-integration

Spring Boot アプリケーションとして実行する (SDK 組み込みのアプリケーション サーバーに対して実行する) ことで、WebApp は正常に動作します。

残念ながら、同じ AuthN プロセスはUndertow/WildFlyではまったく機能しません。

ログによると、IdP は実際にAuthNプロセスを実行します。カスタムUserDetails実装の命令は正しく実行されます。実行フローにもかかわらず、Spring は現在のユーザーの権限を設定および保持しません。

FilterChainProxyデバッグ中に、問題がクラスに依存していることがわかりました。実行時に、 の属性FILTER_APPLIEDはnullServletRequest値を持つため、Spring は.SecurityContextHolder

VMware vFabric tc SeverおよびTomcatでは、すべて正常に動作します。この問題を解決するためのアイデアはありますか?

ADFS を IDP として使用する SSO を実装するために、Spring Security saml 拡張機能を使用しています。

私が理解しているように、Spring Security は open saml を使用して、署名アルゴリズムとして SHA1withRSA を使用して SAML リクエストに署名します。

代わりに SHA256withRSA を使用して SAML リクエストに署名するように変更する必要があります。

これはどのように行うことができますか？

これに関する提案をお待ちしております。よろしくお願いします

wso2is が saml2 SSO 仕様にどの程度準拠しているかは疑問です。特に、POST バインディングを使用する SingleLogoutProfile を検討してください。1 つの SP がログアウトを開始した後、IS は、参加している SP もログアウトすることを識別し、HTTP 経由でそれぞれの SP に LogoutRequest を直接送信します。

ベロー私は仕様から画像を再現しています（行1161）。ステップ 3 に注意してください。また、グレイアウトされている User-Agent にも注意してください。SOAP バインディングはユーザー エージェントをバイパスし、リクエストをセッション参加者に直接送信するため、グレー表示されています。ただし、POST バインディングは、User-Agent の関与によって機能するはずです! ( 765行目)

spring-security-saml-extension RC2 で wso2is 4.6.0 を使用しています。spring-extension が LogoutRequest を受け取ると (ステップ 3)、ログインしているユーザーがいると想定します。それ以外の場合、SP はグローバル セッション ID をローカル セッション ID にリンクするある種のテーブルを維持し、ログアウト要求の受信時に終了するセッションを検索する必要があります。このアプローチは、このブログでも推奨されています。

つまり、私が saml2-specs を誤解しているか、wso2 の人が誤解しているかのどちらかです! 私はむしろそれが私を信じているので、誰かが私を啓発してください!

すべて、これが私の要件です。

1. 現在、Java Web アプリケーションがあり、Spring Security Framework に基本的なセキュリティが実装されています。ユーザーがアプリにアクセスすると、ログインページが所有され、ユーザーの資格情報が保存され、Spring フレームワークが顧客のユーザープロバイダーを呼び出して、すべてのユーザーの詳細を取得します。

2. ここで、別のドメインでホストされている別の Web アプリケーションと通信する必要があります。ただし、新しいアプリケーションは SAML に準拠しており、SAML トークンに基づいてユーザーを認証する準備ができています。

これまでに行ったいくつかの調査に基づいて、OpenAm、OpenSSO などのサードパーティの ID 提供ソフトウェアを実装し、現在のスプリングベースの認証モジュールを新しい IDP ソフトウェアに移動してから、他のものと統合する必要があるようです。 SAML トランスポート用のアプリ。

代わりに、サードパーティの IDP S/W に依存するのではなく、アプリを ID プロバイダーとして作成し、APP から直接 SAML を渡す簡単な方法があるかどうか疑問に思っています。

Spring Security SAML 拡張機能がその作業を行うように見え、私は興奮しました。しかし、詳細を読むと、Spring SAML 拡張機能でさえ、その仕事を行うために外部 IDP ソフトウェアが必要であることがわかります。

質問ですが、外部 IDP s/w なしで SPRING SAML EXTENSION を使用した人はいますか。上記の要件を達成する他の方法はありますか。

Spring Security SAML を使用するようにいくつかの Spring および Grails アプリケーションを構成しようとしていますが、適切なチュートリアルが見つかりません。誰かが私を正しい方向に向けることができますか?

Spring Saml の例を正常にテストして、SSO Circle に対して検証しました。IDP を Ping に変更したいと思い、この投稿PingFederate を使用して SSO 用に Spring SAML を構成するに記載されている手順に従いました。

ログインに成功すると、server/saml-sample/saml/discovery/alias/defaultAlias?entityID=entity id の検出ページに戻ります

一般情報、プリンシパルの属性、サブジェクトの確認など、Ping から返される情報を期待しています。

入手できる情報が非常に少ないため、この点で助けていただければ幸いです。

更新: ログファイルの共有

ログが長すぎてここに貼り付けられません。ドロップボックスにアップしました

https://www.dropbox.com/s/fe0y252ypnqa2m7/log.txt

ありがとう