基于 SAML 断言授权的 SAML2 身份验证

关键词：

【中文标题】基于 SAML 断言授权的 SAML2 身份验证【英文标题】：SAML2 Authentication with authorization based on SAML assertions 【发布时间】：2022-01-17 03:21:12 【问题描述】：

我正在使用spring-security-saml2-service-provider 针对 SAML IdP 对我的 SpringBoot webapp 进行身份验证 - 这很有效。我还可以使用@AuthenticationPrincipal Saml2AuthenticatedPrincipal principal 访问 REST 控制器中的 SAML 断言，但我想做的是使用 Saml2AuthenticatedPrincipal 主体中的断言中的值限制通过 url 进行的访问 - 这是 SAML 联盟中发布值的常用方法eduPersonEntitlement，并据此决定访问权限。有人做过吗？我对此的所有研究/试验都一无所获。 这是我目前所拥有的：

@EnableWebSecurity
public class SAMLSecurityConfig extends WebSecurityConfigurerAdapter 

@Autowired
RelyingPartyRegistrationRepository relyingPartyRegistrationRepository;

protected void configure(HttpSecurity http) throws Exception 

    RelyingPartyRegistrationResolver relyingPartyRegistrationResolver =
    new DefaultRelyingPartyRegistrationResolver(this.relyingPartyRegistrationRepository);

    Saml2MetadataFilter filter = new Saml2MetadataFilter(relyingPartyRegistrationResolver, new OpenSamlMetadataResolver());
    
    http
        .saml2Login(withDefaults())
            .addFilterBefore(filter, Saml2WebSsoAuthenticationFilter.class).antMatcher("/**")
        .authorizeRequests()
            .anyRequest().authenticated();
    

我认为我需要将authenticated() 替换为可能与角色有关的东西，并在用户登录时以某种方式为用户设置角色，但对此一无所知。有什么想法吗？

【问题讨论】：

【参考方案1】：

好的，开始工作了....您需要自定义 saml2Login - 用新的自定义程序替换 withDefaults() 方法（下面的 Saml2LoginSettings）：

SAMLSecurityconfig.java：

@EnableWebSecurity
public class SAMLSecurityConfig extends WebSecurityConfigurerAdapter 
  
    @Autowired
    RelyingPartyRegistrationRepository relyingPartyRegistrationRepository;

    @Autowired
    Saml2LoginSettings settings;
    
    protected void configure(HttpSecurity http) throws Exception 

        RelyingPartyRegistrationResolver relyingPartyRegistrationResolver =
        new DefaultRelyingPartyRegistrationResolver(this.relyingPartyRegistrationRepository);

        Saml2MetadataFilter filter = new Saml2MetadataFilter(relyingPartyRegistrationResolver, new OpenSamlMetadataResolver());

        http
            .saml2Login(settings)
                .addFilterBefore(filter, Saml2WebSsoAuthenticationFilter.class).antMatcher("/**")  // 
            .authorizeRequests()
            .antMatchers("/attributes").hasAuthority("ADMIN")
            .anyRequest().authenticated();

使用 Saml2LoginSettings.java：

@Component
class Saml2LoginSettings implements Customizer <Saml2LoginConfigurer<HttpSecurity>> 

    @Override
    public void customize(Saml2LoginConfigurer<HttpSecurity> t) 
   
        t.successHandler(new SavedRequestAwareAuthenticationSuccessHandler() 

            @Override
            public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                    Authentication authentication) throws IOException, ServletException 

                authentication = assignAuthorities (authentication, request);
                super.onAuthenticationSuccess(request, response, authentication);
            
        ); 
    

分配权限有点麻烦，但这很管用：

    private Authentication assignAuthorities (Authentication authentication, HttpServletRequest request) 
        Collection<SimpleGrantedAuthority> oldAuthorities = (Collection<SimpleGrantedAuthority>)SecurityContextHolder.getContext()
                .getAuthentication().getAuthorities();

        DefaultSaml2AuthenticatedPrincipal princ = (DefaultSaml2AuthenticatedPrincipal) authentication.getPrincipal();
        if (princ.getAttribute("urn:oid:1.3.6.1.4.1.5923.1.1.1.7").contains("urn:mace:dir:entitlement:common-lib-terms")) 

            List<SimpleGrantedAuthority> updatedAuthorities = new ArrayList<SimpleGrantedAuthority>();
            updatedAuthorities.addAll(oldAuthorities);
            updatedAuthorities.add(new SimpleGrantedAuthority("ADMIN"));
            Saml2Authentication sAuth = (Saml2Authentication) authentication;

            sAuth = new Saml2Authentication(
                    (AuthenticatedPrincipal) SecurityContextHolder.getContext().getAuthentication().getPrincipal(),
                    sAuth.getSaml2Response(),
                    updatedAuthorities
            );
            SecurityContextHolder.getContext().setAuthentication(sAuth);

            return sAuth;
        
        else 
            return authentication;
    

示例代码here

【讨论】：

用于断言的 SAML 2.0 格式属性 - 联合身份

】用于断言的SAML2.0格式属性-联合身份【英文标题】：SAML2.0formatedattributeforassertion-FederationIdentity【发布时间】：2012-12-3109:58:04【问题描述】：我们有一个SAML2.0联合环境（IDP和SP）。我想为仅为一个SP创建的断言生成自定义属性。... 查看详情

支持基于saml2.0的联合身份验证，支持sqlserver数据库管理和审计，jumpserver堡垒机v2.17.0发布(代码片段)

...机正式发布v2.17.0版本。在这一版本中，JumpServer支持基于SAML2.0的联合身份验证，支持对Windows资产的键盘操作进行记录和审计，同时用户可以通过键盘操作快速定位Windows资产会话录像，并且支持对数据库操作的SQL... 查看详情

服务提供者之间的 SAML 2.0 身份验证断言（C#、.net、MVC4、组件空间）

】服务提供者之间的SAML2.0身份验证断言（C#、.net、MVC4、组件空间）【英文标题】：SAML2.0authenticationassertionbetweenserviceproviders(C#,.net,MVC4,ComponentSpace)【发布时间】：2012-08-2115:22:59【问题描述】：我正在构建的系统有问题。我已经成... 查看详情

如何使用 SAML 2.0 响应进行特定 DNN 用户角色组身份验证和授权？

】如何使用SAML2.0响应进行特定DNN用户角色组身份验证和授权？【英文标题】：HowtouseSAML2.0responseforspecificDNNuserrolegroupauthenticationandauthorization?【发布时间】：2019-11-1920:08:11【问题描述】：我正在寻找使用SAML2.0响应将外部用户登录... 查看详情

如何设置本地测试 SAML2.0 身份提供程序？

...2.0断言。我现在想测试这段代码。我知道我可以使用各种基于云的服务来充当我的测试身份提供者(IdP)，但是这些需要公开我的新的、未经测试的SP端点。目前我只是 查看详情

将 java webapp 转换为使用 SAML2 身份验证

】将javawebapp转换为使用SAML2身份验证【英文标题】：convertjavawebapptouseSAML2authentication【发布时间】：2013-05-1215:24:16【问题描述】：我在尝试了解如何完成此任务时遇到了一些问题：1)具有数据库身份验证的现有简单webapp。（简单... 查看详情

JWT 身份验证回退到相同路径的 SAML2

】JWT身份验证回退到相同路径的SAML2【英文标题】：JWTauthenticationwithfallbacktoSAML2forthesamepath【发布时间】：2020-08-0804:39:29【问题描述】：我在我的一个SpringBoot应用程序中使用spring-security-saml2-service-provider进行身份验证，我在另一... 查看详情

使用 Node.js 和 SPA 进行 SAML2.0 身份验证

】使用Node.js和SPA进行SAML2.0身份验证【英文标题】：SAML2.0AuthenticationwithNode.jsandSPA【发布时间】：2017-11-1911:02:00【问题描述】：大约2天来，我一直在摸索如何解决看似简单的任务，但它开始让我发疯。我有一个应用程序，用户将... 查看详情

使用基于 SAML 的基本身份验证进行身份验证？

】使用基于SAML的基本身份验证进行身份验证？【英文标题】：AuthenticateusingSAML-basedBasicAuthentication?【发布时间】：2015-08-1219:55:40【问题描述】：我有一个用例，其中Web应用程序需要让用户以两种不同的方式进行身份验证，但通过... 查看详情

基于 SAML 的 SSO 用于身份验证和 LDAP 用于授权 - Spring Boot Security

】基于SAML的SSO用于身份验证和LDAP用于授权-SpringBootSecurity【英文标题】：SAMLbasedSSOforAuthenticationandLDAPforauthorization-SpringBootSecurity【发布时间】：2020-09-2721:06:21【问题描述】：将Gsuite与CloudIdentity专业版结合使用a)将GSuite初始化为iDP... 查看详情

无法针对架构验证 SAML 2.0 断言

】无法针对架构验证SAML2.0断言【英文标题】：unabletovalidateSAML2.0assertionagainstschema【发布时间】：2015-06-2920:16:49【问题描述】：我正在使用SpringSAML，但在使用SAML断言时遇到问题（来自Wikipediaarticle的示例断言<saml:Assertionxmlns:saml=... 查看详情

更改 Spring Security SAML2 登录的 URL

...个具有多种身份验证类型的应用程序（即基本和特殊的预授权登录）。我正在尝试在我的安全配置中添加SAML2RelyingParty注册，我正在尝试从以下位置更改默认路径：/login/saml2/sso/registration 查看详情

ITfoxtec.Identity.Saml2.Saml2RequestException：“不完全是一个断言元素。”

】ITfoxtec.Identity.Saml2.Saml2RequestException：“不完全是一个断言元素。”【英文标题】：ITfoxtec.Identity.Saml2.Saml2RequestException:\'ThereisnotexactlyoneAssertionelement.\'【发布时间】：2020-11-0415:28:04【问题描述】：早安，我们使用了ITfoxtec库版本1... 查看详情

如何读取加密的断言？

】如何读取加密的断言？【英文标题】：Howtoreadencryptedassertions?【发布时间】：2021-12-1019:41:59【问题描述】：我正在编写一个SAML2服务提供者/依赖方。我的IdP以加密形式（EncryptedAssertion元素）返回断言。ITfoxtec.Identity.Saml2是否支... 查看详情

spring-security saml2：如何获取当前用户？

...ervice-provider。我正在尝试通过IDP进行身份验证以获取当前断言，以便 查看详情

ITfoxtec - ADFS SAML2 根据验证程序，远程证书无效

...dure【发布时间】：2021-10-0711:44:44【问题描述】：我是SAML2身份验证的新手，并尝试过使用ITfoxtec。当我运行我的应用程序时出现此错误AuthenticationException 查看详情

是否可以在单个应用程序中拥有 SAML 2.0 身份验证和 JWT 身份验证？

】是否可以在单个应用程序中拥有SAML2.0身份验证和JWT身份验证？【英文标题】：IsitpossibletohaveSAML2.0AuthenticationandJWTAuthenticationinasingleApplication?【发布时间】：2019-10-2114:42:26【问题描述】：我们的应用程序目前有自己的使用JWT的身... 查看详情

.net 核心和 SAML 2.0

...13:45:27【问题描述】：我们的大学已迁移到使用Shibboleth的基于SAML的身份验证/授权方法。我至少已经研究了一天如何将SAML与.net核心Web应用程序一起使用。我不能使用身份服务器4，因为它用于OaTH/OpenID。我在msdn上找到了一些指向... 查看详情