没有 Spring Boot 的 Spring Security SAML 身份元数据

Question

我不断看到以下用于注册 SAML 身份提供者的代码块：

spring:
  security:
    saml2:
      relyingparty:
        registration:
          adfs:
            identityprovider:
              entity-id: https://idp.example.com/issuer
              verification.credentials:
                - certificate-location: "classpath:idp.crt"
              singlesignon.url: https://idp.example.com/issuer/sso
              singlesignon.sign-request: false

但是，我有一个较旧的项目，我需要实现多个不是基于 Spring Boot 构建的 SAML 身份提供程序，并且转换它不是一种选择（如果我们今天开始同一个项目，当然我们会使用 Spring引导）。

上述代码如何转换为手动执行此操作？

Answer 1

您可以通过公开RelyingPartyRegistrationRepository 类型的bean 来做到这一点：

@Value("${verification.key}")
File verificationKey;

@Bean
public RelyingPartyRegistrationRepository relyingPartyRegistrations() throws Exception {
    X509Certificate certificate = X509Support.decodeCertificate(this.verificationKey);
    Saml2X509Credential credential = Saml2X509Credential.verification(certificate);
    RelyingPartyRegistration registration = RelyingPartyRegistration
            .withRegistrationId("example")
            .assertingPartyDetails(party -> party
                .entityId("https://idp.example.com/issuer")
                .singleSignOnServiceLocation("https://idp.example.com/SSO.saml2")
                .wantAuthnRequestsSigned(false)
                .verificationX509Credentials(c -> c.add(credential))
            )
            .build();
    return new InMemoryRelyingPartyRegistrationRepository(registration);
}

您提到的 application.yml 属性只是从 Spring Boot 声明此 bean 的快捷方式。在 Spring Security 示例存储库中有一个 complete sample 没有使用 Spring Boot。

另外，还有一个entire section in Spring Security documentation 教授如何覆盖 Spring Boot 自动配置（我在上面的代码块中使用）。