我的问题是支持此类的最佳选择/最佳实践是什么
场景并能够扩展我的 SP 以支持更多 SAML 流
Assertion 属性和更多配置的差异?
要分支某些配置,例如断言属性,您需要创建单独的服务提供者。可以共享其他配置和服务。其他配置应该共享。例如,我使用单个自定义 SAMLUserDetailsService 实现,它从凭证中提取唯一的 EntityID,并使用它为每个 IDP 映射不同的 SAML 属性。
当我们使用 Spring SAML 时,我们应该使用不同的 Spring Security
每个 SAML 风格的上下文文件?
在中使用多个上下文时是否存在线程安全问题
并行?
我不建议单独运行多个安全上下文。根据我的经验,Spring SAML 中涉及很多配置,并且很有可能,您将不得不通过这种方式不必要地复制大量代码。
在 Spring SAML 中,存在为不同的服务提供者使用不同别名的概念。我已经为许多 IDP 设置了许多服务提供者,并且能够使用一个 Spring Security 上下文并在需要处理差异的地方实现自定义服务。我没有您的要求的完整列表,并且可能有一些根本无法在单个 Spring 安全上下文中完成,但我会等到确保情况如此,然后再采取该路线。
每个 IDP 之间具体需要有哪些不同?
我可以发布的代码是有限的,但我已经包含了我可以发布的代码。
-
入口点 URL - 如果您有多个 IDP 在配置中设置了别名,则入口点 URL 默认为
"/saml/login/alias/" +productAlias+ "?idp=" + entityId;
如果您在负载均衡器后面,您可以将其配置为将您想要的任何 URL 重写为客户的 URL。
-
绑定和断言 - 这些在每个服务提供者 metadata.xml 文件中进行配置,并且对于每个客户可能不同。真正的挑战是如何从经过身份验证的 SAML 请求中提取属性并以可用的形式获取它。
我不知道是否有更好的方法来做到这一点,但我的要求是为我配置的任何 IDP 提供任何可映射和可配置的绑定。为此,我实现了一个自定义SAMLUserDetailsService。从传入服务的SAMLCredential 中,您可以使用credential.getRemoteEntityID() 为客户提取映射。从那里您需要从凭证中解析出属性。
为 Microsoft 和其他 IDP 解析 SAML 属性的示例
public class AttributeMapperImpl implements AttributeMapper {
@Override
public Map<String, List<String>> parseSamlStatements(List<AttributeStatement> attributeList) {
Map<String, List<String>> map = new HashMap<>();
attributeList.stream().map((statement) -> parseSamlAttributes(statement.getAttributes())).forEach((list) -> {
map.putAll(list);
});
return map;
}
@Override
public Map<String, List<String>> parseSamlAttributes(List<Attribute> attributes) {
Map<String, List<String>> map = new HashMap<>();
attributes.stream().forEach((attribute) -> {
List<String> sList = parseXMLObject(attribute.getAttributeValues());
map.put(attribute.getName(), sList);
});
return map;
}
@Override
public List<String> parseXMLObject(List<XMLObject> objs) {
List<String> list = new ArrayList<>();
objs.stream().forEach((obj) -> {
if(obj instanceof org.opensaml.xml.schema.impl.XSStringImpl){
XSStringImpl xs = (XSStringImpl) obj;
list.add(xs.getValue());
}else if(obj instanceof org.opensaml.xml.schema.impl.XSAnyImpl){
XSAnyImpl xs = (XSAnyImpl) obj;
list.add(xs.getTextContent());
}
});
return list;
}
@Override
public String parseSamlStatementsToString(Map<String, List<String>> map) {
String values = "";
Iterator it = map.entrySet().iterator();
while (it.hasNext()) {
Map.Entry pair = (Map.Entry) it.next();
values += pair.getKey() + "=" + pair.getValue() + " ";
it.remove(); // avoids a ConcurrentModificationException
}
return values;
}
}
-
对成功/失败采取的行动 - 有许多可能的方法来做到这一点。我选择在控制器中使用单个端点,该端点可以访问所有请求成功后进入的会话。身份验证成功后,我可以退出会话,用户来自哪个 IDP,并相应地重定向它们。失败有点困难,因为完全有可能,而且某些失败可能会非常严重,以至于您不知道请求来自哪个 IDP(即,如果 saml 消息使用错误的证书签名)。