向SAML响应中添加自定义声明–(如何为WSO2 Identity Server编写自定义声明处理程序)...

最新推荐文章于 2022-11-02 14:45:59 发布
最新推荐文章于 2022-11-02 14:45:59 发布
阅读量219 收藏
点赞数
文章标签: java 数据库 spring 大数据 http

总览

最新版本的WSO2 Identity Server(版本5.0.0)配备了“应用程序身份验证框架”,该框架提供了很大的灵活性,可以对来自使用异构协议的各种服务提供商的用户进行身份验证。 它具有多个扩展点,可用于满足企业系统中常见的几个自定义要求。 在这篇文章中,我将分享使用这样一个扩展点的细节。


功能扩展

在企业系统中使用SAML单一登录时,依赖方通过SAML响应来了解用户是否已通过身份验证。 在这一点上,依赖方尚不知道其为业务和授权目的可能需要的已认证用户的其他属性。 为了向依赖方提供这些属性详细信息,SAML规范允许在SAML响应中也发送属性。 WSO2 Identity Server通过为管理员提供的GUI开箱即用地支持此功能。 有关此功能和配置的详细信息,请参阅[1]。

当我们需要向SAML响应中添加除下划线用户存储中可用的属性之外的其他属性时,此特定扩展提供的灵活性会派上用场。 为了提供依赖方请求的所有属性,可能需要寻找外部数据源。

在这里我要描述的样本中,我们将研究一个场景,该系统需要提供一些存储在用户存储中的用户本地属性,以及一些我希望从外部数据源中检索到的其他属性。
遵循SAML响应是我们需要从WSO2 IS发送给依赖方的内容。 

<saml2p:Response Destination="https://localhost:9444/acs" ID="faibaccbcepemkackalbbjkihlegenhhigcdjbjk"
                 InResponseTo="kbedjkocfjdaaadgmjeipbegnclbelfffbpbophe" IssueInstant="2014-07-17T13:15:05.032Z"
                 Version="2.0" xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
                 xmlns:xs="http://www.w3.org/2001/XMLSchema">
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity"
                  xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">localhost
    </saml2:Issuer>
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        ..........
    </ds:Signature>
    <saml2p:Status>
        <saml2p:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </saml2p:Status>
    <saml2:Assertion ID="phmbbieedpcfdhcignelnepkemobepgaaipbjjdk" IssueInstant="2014-07-17T13:15:05.032Z" Version="2.0"
                     xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema">
        <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">localhost</saml2:Issuer>
        <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            .........
        </ds:Signature>
        <saml2:Subject>
          <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">Administrator</saml2:NameID>
            <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
                <saml2:SubjectConfirmationData InResponseTo="kbedjkocfjdaaadgmjeipbegnclbelfffbpbophe"
                                               NotOnOrAfter="2014-07-17T13:20:05.032Z"
                                               Recipient="https://localhost:9444/acs"/>
            </saml2:SubjectConfirmation>
        </saml2:Subject>
        <saml2:Conditions NotBefore="2014-07-17T13:15:05.032Z" NotOnOrAfter="2014-07-17T13:20:05.032Z">
            <saml2:AudienceRestriction>
                <saml2:Audience>carbonServer2</saml2:Audience>
            </saml2:AudienceRestriction>
        </saml2:Conditions>
        <saml2:AuthnStatement AuthnInstant="2014-07-17T13:15:05.033Z">
            <saml2:AuthnContext>
                <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef>
            </saml2:AuthnContext>
        </saml2:AuthnStatement>
        <saml2:AttributeStatement>
            <saml2:Attribute Name="http://wso2.org/claims/role"
                             NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
                    Internal/carbonServer2,Internal/everyone
                </saml2:AttributeValue>
            </saml2:Attribute>
            <saml2:AttributeStatement>
                <saml2:Attribute Name="http://pushpalanka.org/claims/keplerNumber"
                                 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                    <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
                        E90836W19881010
                    </saml2:AttributeValue>
                </saml2:Attribute>
                <saml2:Attribute Name="http://pushpalanka.org/claims/status"
                                 NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
                    <saml2:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
                        active
                    </saml2:AttributeValue>
                </saml2:Attribute>
            </saml2:AttributeStatement>
        </saml2:AttributeStatement>
    </saml2:Assertion>
</saml2p:Response>

在此响应中,我们具有一个本地属性(即角色)和另外两个属性http://pushpalanka.org/claims/keplerNumber和http://pushpalanka.org/claims/status,这些属性已从其他方法中检索出在我们的扩展名中定义。

怎么样?

  1. 实施定制逻辑以获取外部声明。 我们仅需注意两个事实。
    • 定制实现应实现接口“ org.wso2.carbon.identity.application.authentication.framework.handler.claims.ClaimHandler”,或扩展接口“ org.wso2.carbon.identity.application.authentication”的默认实现。 framework.handler.claims.impl.DefaultClaimHandler”。
    • 在方法“ public Map <String,String> handleClaimMappings”处返回的映射应包含我们要添加到SAML响应中的所有属性。

    以下是我按照上面编写的示例代码。 外部声明可能已从数据库中查询,从文件中读取或根据需要使用任何其他机制。 

    public class CustomClaimHandler implements ClaimHandler {

    private static Log log = LogFactory.getLog(CustomClaimHandler.class);
    private static volatile CustomClaimHandler instance;
    private String connectionURL = null;
    private String userName = null;
    private String password = null;
    private String jdbcDriver = null;
    private String sql = null;


    public static CustomClaimHandler getInstance() {
        if (instance == null) {
            synchronized (CustomClaimHandler.class) {
                if (instance == null) {
                    instance = new CustomClaimHandler();
                }
            }
        }
        return instance;
    }

    public Map<String, String> handleClaimMappings(StepConfig stepConfig,
                                                   AuthenticationContext context, Map<String, String> remoteAttributes,
                                                   boolean isFederatedClaims) throws FrameworkException {

        String authenticatedUser = null;

        if (stepConfig != null) {
            //calling from StepBasedSequenceHandler
            authenticatedUser = stepConfig.getAuthenticatedUser();
        } else {
            //calling from RequestPathBasedSequenceHandler
            authenticatedUser = context.getSequenceConfig().getAuthenticatedUser();
        }

        Map<String, String> claims = handleLocalClaims(authenticatedUser, context);
        claims.putAll(handleExternalClaims(authenticatedUser));

        return claims;
    }


    /**
     * @param context
     * @return
     * @throws FrameworkException
     */
    protected Map<String, String> handleLocalClaims(String authenticatedUser,
                                                    AuthenticationContext context) throws FrameworkException {
	....
    }

    private Map<String, String> getFilteredAttributes(Map<String, String> allAttributes,
                                                      Map<String, String> requestedClaimMappings, boolean isStandardDialect) {
	....
    }

    protected String getDialectUri(String clientType, boolean claimMappingDefined) {
	....
    }

    /**
     * Added method to retrieve claims from external sources. This results will be merged to the local claims when
     * returning final claim list, to be added to the SAML response, that is sent back to the SP.
     *
     * @param authenticatedUser : The user for whom we require claim values
     * @return
     */
    private Map<String, String> handleExternalClaims(String authenticatedUser) throws FrameworkException {
        Map<String, String> externalClaims = new HashMap<String, String>();
        externalClaims.put("http://pushpalanka.org/claims/keplerNumber","E90836W19881010");
        externalClaims.put("http://pushpalanka.org/claims/status","active");
        return externalClaims;
    }
}
  2. 将已编译的OSGI软件包放在IS_HOME / repository / components / dropins中。 (我们将其开发为OSGI捆绑软件,因为我们还需要使用RealmService获得本地声明。 您可以在此处找到完整的捆绑软件和源代码
  3. 使WSO2 Identity Server使用我们拥有的新的自定义实现。

在IS_HOME / repository / conf / security / applicationauthentication.xml中,配置新的处理程序名称。 (在“ ApplicationAuthentication.Extensions.ClaimHandler”元素中。) 

   <ClaimHandler>com.wso2.sample.claim.handler.CustomClaimHandler</ClaimHandler>

现在,如果查看生成的SAML响应,我们将看到添加的外部属性。

干杯!

[1] – https://docs.wso2.com/display/IS500/Adding+a+Service+Provider

翻译自: https://www.javacodegeeks.com/2014/08/adding-custom-claims-to-the-saml-response-how-to-write-a-custom-claim-handler-for-wso2-identity-server.html

dnc8371
关注
wso2_WSO2身份服务器:身份管理平台
danpu0978的博客
05-11 1341
wso2 WSO2 Identity Server为身份管理提供了一个灵活,可扩展且强大的平台。 这篇博客文章在WSO2 Identity Server内部进行了研究,以识别可用于身份验证,授权和供应的不同插入点。 WSO2 Identity Server支持以下用于身份验证,授权和供应的标准/框架。 1.基于SOAP的身份验证API 2.验证者 3.用于分散式单点登录的OpenID...
WSO2身份服务器:身份管理平台
danpu0978的博客
04-16 686
WSO2 Identity Server为身份管理提供了一个灵活,可扩展且强大的平台。 这篇博客文章在WSO2 Identity Server内部进行了研究,以识别可用于身份验证,授权和供应的不同插入点。 WSO2 Identity Server支持以下用于身份验证,授权和供应的标准/框架。 1.基于SOAP的身份验证API 2.验证者 3.用于分散式单点登录的OpenID 2.0...
WSO2-Identity Server 5.1
11-02
WSO2-Identity Server 5.1详细配置文档
saml2.0_向SAML 2.0请求消息添加自定义XML扩展
cuyi7076的博客
06-25 1372
必备知识 这是一篇高级文章,专门为需要使用Tivoli Federated Identity Manager 6.2定制SAML 2.0请求响应消息的开发人员而设计。 读者应: 熟悉SAML 2.0单点登录协议和消息格式。 熟悉Java开发。 阅读并阅读了TFIM 6.2 STS模块开发教程 可以使用有效的SAML 2.0联盟访问TFIM 6.2运行时环境。 SA...
SAML标准提高网络安全性
binterminator的专栏
08-22 453
 互联网安全方面最具挑战性的一个问题是维持一次无缝操作和安全环境时, 使各不相同的安全系统达到一体化。由于一些公司经常需要通过网络来交换机密的资料或数据,因此,对于安全意义非常重大的Web服务来说,对这种功能的要求尤为重要,比如进行电子商务活动。   结构化信息标准促进组织(OASIS)建立的安全标准SAML(安全声明标记语言),是基于XML(可扩展标记语言)面向Web服务的架构。SAML通过
product-is:欢迎使用WSO2 Identity Server源代码! 有关使用WSO2 Identity Server存储库和提供代码的信息,请单击下面的链接。
02-11
WSO2 Identity Server是一个开源的身份和访问管理解决方案,可在企业和云服务环境联合和管理身份。 它支持各种身份验证协议,例如SAML 2.0 Web SSO,OpenID,OAuth 2.0 / 1.0a,OpenID Connect和WS-Federation ...
devillers.wso2is::locked_with_key: 修改 WSO2 身份服务器
06-17
标题 "deviller.wso2is::locked_with_key: 修改 WSO2 身份服务器" 暗示了这是一个关于定制和优化 WSO2 Identity Server (WSO2IS) 的项目,其可能涉及安全性增强和特定功能的调整。WSO2IS 是一个开源的身份和访问...
opensaml.rar_SAMLAttribute_java samlassertion_org.opensa_saml j
09-19
通过分析和运行这些示例,开发者可以更直观地了解如何在Java构建SAML相关的功能,例如创建和解析Assertion,处理SAML响应,以及实现SSO流程。 总之,这个压缩包提供的资源为学习和开发基于SAMLJava应用程序提供...
SAML.rar_Java 8_saml_saml webservice_saml2.0_saml协议
09-20
2、SAML标准&协议 3、SAML2.0特性分析 4、SAML:集身份管理的秘诀 5、SAML:企业级的IdP 6、SAML:IdP和SP用户存储库 7、XML安全:使用SAML确保可移植的信任 8、揭开SAML的神秘面纱 9、安全地共享数字身份信息(一)...
saml2.sso.demo
07-04
在此示例应用程序,通过将 SAML 响应传递给管理服务 SAML2SSOAuthenticationService 来获取 cookie。 因此,此 cookie 用于调用 changePasswordByUser 方法。 我编写了这个示例来与 Tomcat 一起工作。 所以我把...
OAuth 2.0 Support with WSO2 Identity Server
zzhongcy的专栏
04-10 2020
In this blog I will discuss how to configure and test the support WSO2 Identity Server has for OAuth 2.0, which was published in the year 2012. OAuth is an open standard for authorization enabling cli
WSO2 Identity Server 5.0.0身份验证框架
danpu0978的博客
04-21 1106
WSO2 Identity Server 5.0.0将身份管理带入了一个新的方向。 不再有联邦筒仓或意大利面条身份反模式 。 我们在IS 5.0.0引入的身份验证框架为这一切提供了动力。 本博客文章的目的是介绍与身份验证框架相关的高级概念。 入站身份验证器的职责是识别并解析所有传入的身份验证请求,然后构建相应的响应。 给定的入站身份验证器分为两个部分。 请求处理器 响...
转载 | 科普一下 SAML:安全声明标记语言
Authing 身份云
09-08 1054
随着互联网的普及,物联网的逼近,数字化时代的真正到来,身份认证与访问授权的重要性越来越凸显。SAML(安全声明标记语言)标准定义了供应商提供身份验证与授权服务的方式。那么关于SAML,我们需要知道些什么呢? 首先,SAML是可在网络多台计算机上共享安全凭证的一个开放标准。该标准描述了一个框架,可使1台计算机代表其他多台计算机执行某些安全功能。 身份验证:确定用户身份与其所声称的相符 授权:确...
WSO2身份服务的关键概念三:访问控制与权限管理
JosephThatwho的博客
02-25 938
今天,企业应用程序寻求加强安全性的方法,允许适当的人在企业策略的限制下访问适当的资源。身份和权限管理系统作为一个整体,试图解决这些安全问题。这些系统帮助企业架构师和开发人员实现他们的应用程序需求,并试图显著降低安全相关实现的成本。这些身份和权限管理系统遵循行业标准规范,因此很容易支持异构应用程序的安全需求。 访问控制的类型 下表描述了不同类型的访问控制。 访问控制类型 描述 Access Control Li
wso2 esb部署 4._WSO2 Identity Server 5.0.0身份验证框架
danpu0978的博客
05-16 370
wso2 esb部署 4. WSO2 Identity Server 5.0.0将身份管理推向了新的方向。 不再有联邦筒仓或意大利面条身份反模式 。 我们在IS 5.0.0引入的身份验证框架为这一切提供了动力。 这篇博客的目的是介绍与身份验证框架相关的高级概念。 入站身份验证器的职责是识别并解析所有传入的身份验证请求,然后构建相应的响应。 给定的入站身份验证器分为两个部分。 ...
系统集成之用户统一登录( LDAP + wso2 Identity Server)
weixin_33790053的博客
04-11 769
本文场景:LDAP + wso2 Identity Server + asp.net声明感知 场景 ,假定读者已经了解过ws-*协议族,及 ws-trust 和ws-federation. 随着开源技术的发展,越来越多的优秀开源产品将加入到我们常规的业务系统,为了避免重复造轮子(实际上自己造的轮子质量非常差),我们最快的方法就是集成优秀的开源项目为我所用. 下面来说说集成...
wso2 identity server 的openid实例
zzhongcy的专栏
04-29 2344
最近在研究wso2 IS openid,在网上
如何理解 SAML2 协议
Authing的博客
11-02 1413
Authing 带你理解 SAML2 协议。
SAML2.0使用
热门推荐
strivezxq的专栏
02-07 2万+
最近在工作和海外一家公司对接单点登录,用到了SAML2.0协议,目前公司的单点登录 还是比较老的CASE3.5版本,不支持SAML2,要支持也要定制优,由于后面肯定是要升级,所 以不在源码上做调整支持,单独建了个SSO应用作为CASE客户端,并包装客户的接口,登录 还是用CASE认证。 由于客户没有完全实现SAML2.0(SP)的功能, IDP由我司CASE提供,我司SSO应用其实是半个SP的功...
php实现curl https://login.microsoftonline.com/common/saml2 登陆
最新发布
09-14
在PHP使用cURL库实现与Microsoft Azure AD的SAML 2.0登录过程,通常涉及以下几个步骤: 1. 初始化cURL会话。 2. 设置cURL选项,包括URL、请求方法、头部信息、POST字段等。 3. 发送请求并获取响应。 4. 关闭cURL会话。 以下是一个简化的示例,展示如何使用PHP的cURL功能向Microsoft Azure AD发送登录请求: ```php <?php // 初始化cURL会话 $ch = curl_init(); // 设置请求的URL curl_setopt($ch, CURLOPT_URL, "https://login.microsoftonline.com/common/saml2"); // 设置请求方法为POST curl_setopt($ch, CURLOPT_POST, true); // 设置POST字段(例如用户名和密码) // 注意:实际应用SAML认证不需要直接在URL提交用户名和密码,而是需要构建一个SAML请求 // 这里仅为示例,具体情况需要根据实际认证协议处理 $postData = http_build_query(array( 'username' => 'your_username', 'password' => 'your_password' )); curl_setopt($ch, CURLOPT_POSTFIELDS, $postData); // 设置请求头部信息,需要包括内容类型和接受类型等 curl_setopt($ch, CURLOPT_HTTPHEADER, array( 'Content-Type: application/x-www-form-urlencoded', 'Accept: */*' )); // 执行cURL请求并获取响应 $response = curl_exec($ch); // 检查是否有错误发生 if (curl_errno($ch)) { echo 'cURL error: ' . curl_error($ch); } else { // 打印服务器响应 echo $response; } // 关闭cURL会话 curl_close($ch); ?> ``` 请注意,上面的代码仅用于说明如何使用cURL来发送HTTP请求,并不适用于实际的SAML 2.0登录流程,因为SAML认证流程涉及到构建和解析SAML请求响应,这些通常需要使用专门的库来处理,而不是简单的POST请求。 对于实际的SAML认证,你需要根据SAML协议构造认证请求,处理SAML响应,并从解析出所需的令牌信息,通常需要使用如`OneLogin_Saml2\Auth`等专门的库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值