OpenID Connect同时包含了认证和授权,并且利用Json Web Token(JWT)来进行的通报。

一样平常来说OpenID Connect有两种利用场景,第一种场景是某个运用程序要求keycloak来帮它认证一个用户。
该运用程序并不存储这个用户的认证信息。
以是用户须要在keycloak中进行登录,登录成功之后keycloak会返回运用程序一个identity token 和 access token。

identity token紧张包含用户的基本信息,包括用户名,邮箱和一些其他的信息。
access token紧张包含的是用户的访问权限信息,比如说用户的角色等。
运用程序可以通过利用access token来判断用户到底可以访问运用程序的哪些资源。

jee创建jsp项目在wildfly中应用SAML协定衔接keycloak Java

还有一种场景便是client想去访问远程做事的资源,这种情形下client可以先从keycloak中获取到access token,然后利用这个access token去远程做事中要求资源。
远程做事器收到了这个要求之后,会去验证这个access token,然后根据token去获取相应的信息。

SAML 2.0是基于XML的认证协议,它是在OIDC之前产生的,以是会比OIDC成熟,但是相应的也会比OIDC繁芜。

SAML利用XML在运用程序和认证做事器中交流数据,同样的SAML也有两种利用场景。

第一种场景是某个运用程序要求keycloak来帮它认证一个用户。
该运用程序并不存储这个用户的认证信息。
以是用户须要在keycloak中进行登录,登录成功之后keycloak会返回运用程序一个XML文件,这个文件里面包含了一个叫做SAML assertion的东西,里面存的是用户的信息,同时这个XML文件中还包含了用户的权限信息,运用程序可以根据这个信息来对程序进行访问事情。

还有一种场景便是client想去访问远程做事的资源,这种情形下client可以先从keycloak中获取到SAML assertion,然后利用这个SAML assertion去远程做事中要求资源。

以是总结起来,一样平常情形下是推举是用OIDC的,由于它比较大略和多平台支持性更强。
利用SAML的场景紧张考虑的是SAML的成熟性,或者说公司中已经在利用了SAML了。

SAML的事情流程

在SAML协议中定义了三个角色,分别是principal:代表主体常日表示人类用户。
identity provider (IdP)身份供应者和service provider (SP)做事供应者。

IdP的浸染便是进行身份认证,并且将用户的认证信息和授权信息通报给做事供应者。

SP的浸染便是进行用户认证信息的验证,并且授权用户访问指定的资源信息。

根据要求办法有redirect和post的不同,利用SAML来进行SSO认证有常日有三种办法,我们这里先容最大略的一种叫做SP redirect request; IdP POST response:

上图中User Agent便是web浏览器,我们看一下如果用户想要求Service Provider的资源的时候,SAML协议是怎么处理的。

用户通过User Agent要求Service Provider,比如:

http://sp.flydean.com/myresource

SP将会对该资源进行相应的安全检讨,如果创造已经有一个有效的安全高下文的话,SP将会跳过2-7步,直接进入第8步。

如果在第一步的时候,SP并没有找到相应的有效安全高下文的话,则会天生对应的SAMLRequest,并将User Agent重定向到IdP:

302 RedirectLocation: https://idp.flydean.com/SAML2/SSO/Redirect?SAMLRequest=request&RelayState=token

RelayState是SP掩护的一个状态信息,紧张用来防止CSRF攻击。

个中这个SAMLRequest是用Base64编码的,下面是一个samlp:AuthnRequest的例子:

<samlp:AuthnRequest xmlns:samlp=&#34;urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="aaf23196-1773-2113-474a-fe114412ab72" Version="2.0" IssueInstant="2020-09-05T09:21:59Z" AssertionConsumerServiceIndex="0" AttributeConsumingServiceIndex="0"> <saml:Issuer>https://sp.flydean.com/SAML2</saml:Issuer> <samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/> </samlp:AuthnRequest>

为了安全起见,SAMLRequest还可以利用SP供应的署名key来进行署名。

User agent将会发送一个get要求到IdP的SSO server :

GET /SAML2/SSO/Redirect?SAMLRequest=request&RelayState=token HTTP/1.1Host: idp.flydean.com

IdP收到这个AuthnRequest要求之后,将会进行安全验证,如果是合法的AuthnRequest,那么将会展示登录界面。

用户可以输入用户名密码进行登录。
登录成功之后,IdP将会返回一个XHTML form:

<form method="post" action="https://sp.flydean.com/SAML2/SSO/POST" ...> <input type="hidden" name="SAMLResponse" value="response" /> <input type="hidden" name="RelayState" value="token" /> ... <input type="submit" value="Submit" /> </form>

这个form中包含了SAMLResponse信息,SAMLResponse中包含了用户干系的信息。

同样的SAMLResponse也是利用Base64进行编码过的。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="identifier_2" InResponseTo="identifier_1" Version="2.0" IssueInstant="2020-09-05T09:22:05Z" Destination="https://sp.flydean.com/SAML2/SSO/POST"> <saml:Issuer>https://idp.flydean.com/SAML2</saml:Issuer> <samlp:Status> <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/> </samlp:Status> <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="identifier_3" Version="2.0" IssueInstant="2020-09-05T09:22:05Z"> <saml:Issuer>https://idp.flydean.com/SAML2</saml:Issuer> <!-- a POSTed assertion MUST be signed --> <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">...</ds:Signature> <saml:Subject> <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"> 3f7b3dcf-1674-4ecd-92c8-1544f346baf8 </saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData InResponseTo="identifier_1" Recipient="https://sp.flydean.com/SAML2/SSO/POST" NotOnOrAfter="2020-09-05T09:27:05Z"/> </saml:SubjectConfirmation> </saml:Subject> <saml:Conditions NotBefore="2020-09-05T09:17:05Z" NotOnOrAfter="2020-09-05T09:27:05Z"> <saml:AudienceRestriction> <saml:Audience>https://sp.flydean.com/SAML2</saml:Audience> </saml:AudienceRestriction> </saml:Conditions> <saml:AuthnStatement AuthnInstant="2020-09-05T09:22:00Z" SessionIndex="identifier_3"> <saml:AuthnContext> <saml:AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport </saml:AuthnContextClassRef> </saml:AuthnContext> </saml:AuthnStatement> </saml:Assertion> </samlp:Response>

我们可以看到samlp:Response中包含有saml:Assertion信息。

user agent 收到XHTML form之后将会提交该form给SP。
SP中的assertion consumer service将会处理这个要求,创建干系的安全高下文,并将user agent重定向到要访问的资源页面。
user agent再次要求SP资源。
由于安全高下文已经创建完毕,SP可以直接返回相应的资源,不用再次到IdP进行认证。

我们可以看到上面的所有的信息交流都是由前端浏览器来完成的,在SP和IdP之间不存在直接的通信。

这种全部由前端来完成信息交流的办法好处便是协议流非常大略,所有的都是大略的GET或者POST要求。

如果为了提高安全性,也可以利用引用。
也便是说IdP返回的不是直接的SAML assertion,而是一个SAML assertion的引用。
SP收到这个引用之后,可以从后台再去查询真实的SAML assertion,从而提高了安全性。

在keycloak中利用SAML

接下来,我们看下怎么在keycloak中配置利用SAML协议。

我们通过./standalone.sh -Djboss.socket.binding.port-offset=100启动keycloak做事器。
访问 http://localhost:8180/auth/admin 可以进入到admin console界面。

把稳,这里为了和本地运用程序的默认端口8080差异,我们添加了一个-Djboss.socket.binding.port-offset=100参数,让keycloak的端口从8080变成了8180。

输入我们创建的admin用户名和密码,就可以登录到keycloak的admin界面。

这里须要为SAML运用创建一个新的client。

点击clients-> create 输入Client ID和Client Protocol: saml,点击save即可创建新的client。

成功创建client之后,假设我们要支配的运用程序名叫做app-profile-saml,则须要添加下面的信息:

Valid Redirect URIs: http://localhost:8080/app-profile-saml/

Base URL: http://localhost:8080/app-profile-saml/

Master SAML Processing URL: http://localhost:8080/app-profile-saml/saml

Force Name ID Format: ON

点保存即可。

接下来我们须要点击mappers,创建一些用户信息和token claims的映射信息,从而能够在saml的要求中包含这些用户信息。

为了大略起见,我们选择默认的Protocol Mapper:

末了一步,我们须要配置adapter。

点击installation,选择Keycloak SAML Adapter keycloak-saml.xml, 点击下载。

将下载下来的keycloak-saml.xml进行修正:

将 logoutPage=”SPECIFY YOUR LOGOUT PAGE!” 修正为 /index.jsp

将 entityID=”saml-test” 中的entityID修正为我们设置的entityID

将keycloak-saml.xml拷贝到我们运用程序的config/目录下。
这里我们利用官方的运用程序,大家可以在 https://github.com/keycloak/keycloak-quickstarts/tree/latest/app-profile-saml-jee-jsp 进行下载。

不才一节,我们将会详细讲解这个运用程序的功能和构造。

准备wildfy和运用程序

我们从wildfly官网下载wildfly运用程序之后,还须要到keycloak中下载wildfly Client Adapters。

这里由于我们利用的是SAML,以是须要下载 keycloak-saml-wildfly-adapter-dist-11.0.2.zip。

下载完毕之后,将其拷贝到wildfly根目录,解压即可。

解压adapter,解压之后,进入wildfly/bin目录,运行:

./jboss-cli.sh --file=adapter-elytron-install-offline.cli

即可安装完毕。

安装完毕之后,记得启动wildfly运用程序。

接下来可以编译我们的运用程序了:

cd app-profile-saml-jee-jsp mvn clean wildfly:deploy

即可将我们的运用程序支配到wildfly中。

先看下运用的运行情形,访问 http://localhost:8080/app-profile-saml/

点击login,可以看到跳转到了keycloak的登录页面:

输入用户命名密码之后就会跳转到profile.jsp页面,从而展示用户的profile信息。

大略讲解一下运用程序的事情流程。

运用程序紧张有两个页面,一个是index,一个是profile。
在index页面会去检测用户是否登录。
如果未登录,可以点击登录按钮,跳转到登录页面。

输入用户名和密码进行校验之后,keycloak会返回一个SAMLResponse给运用程序,运用程序通过assertion consumer service将会处理这个要求,创建干系的安全高下文,并将user agent重定向到要访问的资源页面。

本文作者:flydean程序那些事

本文链接:http://www.flydean.com/keycloak-saml-wildfly/

本文来源:flydean的博客

欢迎关注我的"大众年夜众号:「程序那些事」最普通的解读,最深刻的干货,最简洁的教程,浩瀚你不知道的小技巧等你来创造!