在没有浏览器的情况下对 WSO2 Identity Server 进行身份验证并获取 SAML2 断言消息
Authenticate against WSO2 Identity Server with no browser and get SAML2 assertion message
我正在尝试设置一个使用 WSO2 IS 通过 SAML2 进行身份验证的服务提供商。现在,我们有一个用例,其中用户是需要访问服务提供者的机器(即外部程序)。由于用户是机器,没有浏览器,无法使用WSO2登录表单完成认证步骤,虽然已经给了用户名和密码,但还是用户。
我的问题是这个非 GUI 用户如何参与 SAML2 工作流程(特别是将凭据传递给 WSO2 以获取 SAMLV2 断言消息)并访问服务提供商?
我尝试模拟执行以下操作,但失败了
1) curl -v -k http://localhost:8000/service_provider/login
2) Extracting the SAML message from the response:
curl --user username:password -v -k https://localhost:9443/samlsso?SAMLRequest=<ENCODED_REQUEST>
基本上,我期望从 WSO2 获得重定向响应并返回到带有 SAML 断言消息的服务提供商,但我得到了以下信息:
https://localhost:9443/authenticationendpoint/login.do;jsessionid=7QON18982323HWIH?commonAuthCallerPath=%2Fsamlsso&forceAuth=false&passiveAuth=false&tenantDomain=carbon.super&sessionDataKey=122JhQ-JQOJ-H8123&relyingParty=test-saml2&type=samlsso&sp=test&isSaaSApp=false&authenticators=BasicAuthenticator:LOCAL,这与人类用户使用浏览器进行身份验证时使用的 url 相同。
我还尝试使用 HTTP-POST 绑定和 "sectoken" 表单参数,如本文所建议:http://xacmlinfo.org/2015/02/12/sso-without-identity-provider-login-page/。但是也没用。
我还尝试向 WSO2 的 AuthenticationAdminHttpsSoap12Endpoint 服务发出 SOAP 请求,特别是 "login" 方法。我使用了从对上述步骤的 SOAP 响应中获得的 JSESSIONID,但效果是一样的。这对我来说并不奇怪,因为 WSO2 不使用 JSESSIONID 来检查您是否已经通过身份验证(至少不是为了尝试获取 SAML 响应)。
1.Get login form
Request
curl -v http://localhost:8000/service_provider/login
Response
Extract SAMLRequest and SSOAuthSessionID (if RelayState presents extract it too)
2.Send saml request to IDP using extracted valuses in step1(In browser this will happen through redirection)
Request
Endpoint : https://<is_host>:9443/samlsso
Verb :post
Content-Type:application/x-www-form-urlencoded
Parameters:[
SAMLRequest:<value from previous step>,
SSOAuthSessionID:<value from previous step>,
RelayState :<value from previous step>]
Response
This will give IS login page.Extract sessionDataKey from that.
3. Login by providing user name password
Reqeust
Endpoint:https://<is_host>:9443/commonauth
Content-Type:application/x-www-form-urlencoded
Verb :post
Parameters: [tocommonauth:true,username:xxxx,password:xxx,sessionDataKey:<extracted from previous step>]
Response
Extract SAML response
5.Post the saml resposne to ACS url of service provider
我正在尝试设置一个使用 WSO2 IS 通过 SAML2 进行身份验证的服务提供商。现在,我们有一个用例,其中用户是需要访问服务提供者的机器(即外部程序)。由于用户是机器,没有浏览器,无法使用WSO2登录表单完成认证步骤,虽然已经给了用户名和密码,但还是用户。
我的问题是这个非 GUI 用户如何参与 SAML2 工作流程(特别是将凭据传递给 WSO2 以获取 SAMLV2 断言消息)并访问服务提供商?
我尝试模拟执行以下操作,但失败了
1) curl -v -k http://localhost:8000/service_provider/login
2) Extracting the SAML message from the response:
curl --user username:password -v -k https://localhost:9443/samlsso?SAMLRequest=<ENCODED_REQUEST>
基本上,我期望从 WSO2 获得重定向响应并返回到带有 SAML 断言消息的服务提供商,但我得到了以下信息: https://localhost:9443/authenticationendpoint/login.do;jsessionid=7QON18982323HWIH?commonAuthCallerPath=%2Fsamlsso&forceAuth=false&passiveAuth=false&tenantDomain=carbon.super&sessionDataKey=122JhQ-JQOJ-H8123&relyingParty=test-saml2&type=samlsso&sp=test&isSaaSApp=false&authenticators=BasicAuthenticator:LOCAL,这与人类用户使用浏览器进行身份验证时使用的 url 相同。
我还尝试使用 HTTP-POST 绑定和 "sectoken" 表单参数,如本文所建议:http://xacmlinfo.org/2015/02/12/sso-without-identity-provider-login-page/。但是也没用。
我还尝试向 WSO2 的 AuthenticationAdminHttpsSoap12Endpoint 服务发出 SOAP 请求,特别是 "login" 方法。我使用了从对上述步骤的 SOAP 响应中获得的 JSESSIONID,但效果是一样的。这对我来说并不奇怪,因为 WSO2 不使用 JSESSIONID 来检查您是否已经通过身份验证(至少不是为了尝试获取 SAML 响应)。
1.Get login form
Request
curl -v http://localhost:8000/service_provider/login
Response
Extract SAMLRequest and SSOAuthSessionID (if RelayState presents extract it too)
2.Send saml request to IDP using extracted valuses in step1(In browser this will happen through redirection)
Request
Endpoint : https://<is_host>:9443/samlsso
Verb :post
Content-Type:application/x-www-form-urlencoded
Parameters:[
SAMLRequest:<value from previous step>,
SSOAuthSessionID:<value from previous step>,
RelayState :<value from previous step>]
Response
This will give IS login page.Extract sessionDataKey from that.
3. Login by providing user name password
Reqeust
Endpoint:https://<is_host>:9443/commonauth
Content-Type:application/x-www-form-urlencoded
Verb :post
Parameters: [tocommonauth:true,username:xxxx,password:xxx,sessionDataKey:<extracted from previous step>]
Response
Extract SAML response
5.Post the saml resposne to ACS url of service provider