我们已将shibboleth web sso集成到我们的应用程序中以验证用户,现在我们想要 为我们的申请授权。以下是我正在考虑使用authz的过程。
所以请告诉我,如何处理attribute-resolver.xml以添加我们的授权权限。 Imp问题:使用shibboleth进行授权的更好的流程是什么?
请查看我关注的以下流程... 使用idp进行身份验证流程,我们正在编写自己的SP。 1)以下encodeSaml请求将如下所示:
public Pair<String,String> getSAMLRequest(String spUrl, String consumerUrl) {
AuthnRequest authnRequest = null;
//String encodedSAMLRequest = null;
Pair<String,String> encodedSAMLRequest = null;
try {
authnRequest = this.buildAuthnRequestObject(spUrl, consumerUrl);
Encoder encoder = Encoder.getEncoder();
encodedSAMLRequest = encoder.encodeAuthnRequest(authnRequest);
} catch (MarshallingException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
}
return encodedSAMLRequest;
}
private AuthnRequest buildAuthnRequestObject(String spUrl,
String consumerUrl) {
Issuer issuer = getIssuer();
issuer.setValue(spUrl);
DateTime issueInstant = new org.joda.time.DateTime();
RequestedAuthnContext requestedAuthnContext = getRequestedAuthnContext();
AuthnRequest authRequest = getAuthnRequest(issueInstant, issuer,
consumerUrl, spUrl);
authRequest.setRequestedAuthnContext(requestedAuthnContext);
String systemTime = System.currentTimeMillis() + "";
authRequest.setID("SSOIDSAMLREQ" +systemTime);
authRequest.setVersion(SAMLVersion.VERSION_20);
authRequest.setAssertionConsumerServiceIndex(1);
return authRequest;
}
2) First time idp redirects the user to login.jsp by using configuration which is in the handler.xml using externalAuth
<ph:LoginHandler xsi:type="ph:ExternalAuthn"
externalAuthnPath="/external/login"
supportsForcedAuthentication="true" >
<ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</ph:AuthenticationMethod>
</ph:LoginHandler>
- &gt;一旦涉及上述路径,用户就能看到login.jsp,用户将输入凭据并提交给我们的服务器以验证用户。因此,无论用户是否有效,我们都将得到布尔变量。
- &GT;一旦我们从服务器获得状态,我们就会准备请求和响应,如下所示将再次发送给idp(AuthenticationEngine.returnToAuthenticationEngine(req,resp))。
request.setAttribute(globalStrings.getForceAuthn(), false);
Principal principal = new UsernamePrincipal(login.getAttributes());
Subject subj = new Subject();
subj.getPrincipals().add(principal);
request.setAttribute(LoginHandler.PRINCIPAL_KEY, principal);
request.setAttribute(LoginHandler.PRINCIPAL_NAME_KEY, personId);
request.setAttribute(LoginHandler.SUBJECT_KEY, subj);
request.setAttribute(globalStrings.getAuthnMethod(), this.authenticationMethod);
AuthenticationEngine.returnToAuthenticationEngine(request, response);
3) We mention in the attribute-resolver and attribute-filter for the attributes to be released to the SP like below
<resolver:AttributeDefinition id="principal" xsi:type="PrincipalName" xmlns="urn:mace:shibboleth:2.0:resolver:ad">
<resolver:AttributeEncoder xsi:type="enc:SAML2StringNameID" />
<resolver:AttributeEncoder xsi:type="SAML2Base64" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="ORG_ATTRIBUTE_64" />
<resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
name="ORG_ATTRIBUTE" />
</resolver:AttributeDefinition>
4)因此,将从SP(SAML响应)获取已发布的必需属性并进行进一步处理(授权)。
答案 0 :(得分:1)
您拥有并经营IdP吗?如果没有,您将无法访问attribute-resolver.xml,并且必须在应用程序收到主体数据时在数据库中查找属性。
attribute-resolver.xml是IdP获取可能与多个应用程序相关的属性的方式。即使您的应用程序不允许接收特定属性,也将解析所有属性。因此,如果您拥有IdP,并认为该属性是相关的,请务必将其加载到IdP中,并在您的应用程序从IdP收到SAML响应时将其读出。
这完全是设计问题,不同的设计对不同的用例会更好。此外,权限数据越复杂,您的应用就越有可能处理它。