通过 Saml2 后绑定启动单点登录
Initiate SingleSignOn by Saml2PostBinding
我在将 ITfoxtec 用于 ASP.NET Core 3.0 时遇到问题。
作为上下文,我试图在 Web 应用程序和 third-party 登录服务之间建立连接。为了预先封装一些可能性,third-party 可以访问我们的 metadata-url 并为我们的网络应用程序配置他们的服务。
期望的用户工作流程:
- 用户进入网络应用;
- 用户单击将用户重定向到登录服务的按钮;
- 用户登录服务并重定向回给定的 returnURL;
- 之后webapplication根据提供的sso-cookie.
判断权限
目前已完成的步数:
- 在 appsettings.json 中添加了 Saml2 部分,其中包含我们的 metadata.xml 和发行人。发行者名称等于 metadata.xml 中提供的给定 EntityID。它在给定的上下文中是匿名的,如下所示:
"Saml2": {
"IdPMetadata": "wwwroot/SAML/Metadata.xml",
"Issuer": "myIssuerName",
"SignatureAlgorithm": "http://www.w3.org/2000/09/xmldsig#rsa-sha1",
"CertificateValidationMode": "ChainTrust",
"RevocationMode": "NoCheck",
"SigningCertificateFile": "\licenses\certificate.pfx",
"SigningCertificatePassword": "password1"
},
- 在 startup.cs 中添加了 Saml2Configuration;
services
.Configure<Saml2Configuration>(Configuration.GetSection("Saml2"))
.Configure<Saml2Configuration>(configuration =>
{
configuration.SigningCertificate = CertificateUtil.Load(
$"{Environment.WebRootPath}{Configuration["Saml2:SigningCertificateFile"]}",
Configuration["Saml2:SigningCertificatePassword"]);
configuration.AllowedAudienceUris.Add(configuration.Issuer);
var entityDescriptor = new EntityDescriptor();
entityDescriptor.ReadIdPSsoDescriptorFromFile(Configuration["Saml2:IdpMetadata"]);
if (entityDescriptor.IdPSsoDescriptor == null) throw new Exception("Failed to read the metadata.");
configuration.SignAuthnRequest = true;
configuration.SingleSignOnDestination = entityDescriptor.IdPSsoDescriptor.SingleSignOnServices
.Where(ed => ed.Binding.ToString() == "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST")
.First().Location;
configuration.SignatureValidationCertificates.AddRange(entityDescriptor.IdPSsoDescriptor.SigningCertificates);
});
- 棘手的部分来了;默认情况下,sso 启动会使用 RedirectBinding 发出请求,因此会向 sso 服务发送 GET 请求。但是,我尝试处理的服务需要 SAMLRequest 作为 POST 请求。所以我通过启动 PostBinding 请求更改了代码,然后直接提交表单,如下所示:
public IActionResult Initiate([FromQuery(Name = "returnUrl")] string returnUrl = "")
{
var binding = new Saml2PostBinding();
binding.SetRelayStateQuery(new Dictionary<string, string> { { "ReturnUrl", returnUrl } });
binding.Bind(new Saml2AuthnRequest(_saml2configuration)
{
ForceAuthn = false,
IsPassive = false,
NameIdPolicy = new NameIdPolicy() { AllowCreate = true },
AssertionConsumerServiceUrl = new Uri("https://localhost:44366/api/Authentication/Process"),
});
return binding.ToActionResult();
}
问题:
但是,在将 base64 编码的 AuthnRequest 作为 SAML 请求发送后,我从 third-party 登录收到 403 Forbidden。在这个阶段,我不确定是身份提供者配置不正确还是我的请求缺少某些东西。我做错了什么?
以下是(匿名提出的)请求 headers。
假设 SAMLRequest 以 base64 编码形式在表单数据中提供。
:authority: myEntityDescriptorName
:method: POST
:path: mySsoURL
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
accept-encoding: gzip, deflate, br
accept-language: nl-NL,nl;q=0.9,en-US;q=0.8,en;q=0.7
cache-control: no-cache
content-length: 3582
content-type: application/x-www-form-urlencoded
cookie: JSESSIONID=3D5FE88D55674C2F1E3646E6D8A0FFBE
origin: https://localhost:44366
pragma: no-cache
referer: https://localhost:44366/
sec-fetch-mode: navigate
sec-fetch-site: cross-site
sec-fetch-user: ?1
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36
如果需要,将 Authn 请求更改为 Post 绑定是正确的。
您的应用程序是一个服务提供者(也称为依赖方),需要在身份提供者处配置一个唯一的颁发者名称。
我认为问题是您配置的 Issuer 名称 ("Issuer": "myIssuerName") 不正确。颁发者名称应该是您的服务提供商颁发者名称,而不是 metadata.xml.
中的身份提供者颁发者名称
我在将 ITfoxtec 用于 ASP.NET Core 3.0 时遇到问题。
作为上下文,我试图在 Web 应用程序和 third-party 登录服务之间建立连接。为了预先封装一些可能性,third-party 可以访问我们的 metadata-url 并为我们的网络应用程序配置他们的服务。
期望的用户工作流程:
- 用户进入网络应用;
- 用户单击将用户重定向到登录服务的按钮;
- 用户登录服务并重定向回给定的 returnURL;
- 之后webapplication根据提供的sso-cookie. 判断权限
目前已完成的步数:
- 在 appsettings.json 中添加了 Saml2 部分,其中包含我们的 metadata.xml 和发行人。发行者名称等于 metadata.xml 中提供的给定 EntityID。它在给定的上下文中是匿名的,如下所示:
"Saml2": {
"IdPMetadata": "wwwroot/SAML/Metadata.xml",
"Issuer": "myIssuerName",
"SignatureAlgorithm": "http://www.w3.org/2000/09/xmldsig#rsa-sha1",
"CertificateValidationMode": "ChainTrust",
"RevocationMode": "NoCheck",
"SigningCertificateFile": "\licenses\certificate.pfx",
"SigningCertificatePassword": "password1"
},
- 在 startup.cs 中添加了 Saml2Configuration;
services
.Configure<Saml2Configuration>(Configuration.GetSection("Saml2"))
.Configure<Saml2Configuration>(configuration =>
{
configuration.SigningCertificate = CertificateUtil.Load(
$"{Environment.WebRootPath}{Configuration["Saml2:SigningCertificateFile"]}",
Configuration["Saml2:SigningCertificatePassword"]);
configuration.AllowedAudienceUris.Add(configuration.Issuer);
var entityDescriptor = new EntityDescriptor();
entityDescriptor.ReadIdPSsoDescriptorFromFile(Configuration["Saml2:IdpMetadata"]);
if (entityDescriptor.IdPSsoDescriptor == null) throw new Exception("Failed to read the metadata.");
configuration.SignAuthnRequest = true;
configuration.SingleSignOnDestination = entityDescriptor.IdPSsoDescriptor.SingleSignOnServices
.Where(ed => ed.Binding.ToString() == "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST")
.First().Location;
configuration.SignatureValidationCertificates.AddRange(entityDescriptor.IdPSsoDescriptor.SigningCertificates);
});
- 棘手的部分来了;默认情况下,sso 启动会使用 RedirectBinding 发出请求,因此会向 sso 服务发送 GET 请求。但是,我尝试处理的服务需要 SAMLRequest 作为 POST 请求。所以我通过启动 PostBinding 请求更改了代码,然后直接提交表单,如下所示:
public IActionResult Initiate([FromQuery(Name = "returnUrl")] string returnUrl = "")
{
var binding = new Saml2PostBinding();
binding.SetRelayStateQuery(new Dictionary<string, string> { { "ReturnUrl", returnUrl } });
binding.Bind(new Saml2AuthnRequest(_saml2configuration)
{
ForceAuthn = false,
IsPassive = false,
NameIdPolicy = new NameIdPolicy() { AllowCreate = true },
AssertionConsumerServiceUrl = new Uri("https://localhost:44366/api/Authentication/Process"),
});
return binding.ToActionResult();
}
问题:
但是,在将 base64 编码的 AuthnRequest 作为 SAML 请求发送后,我从 third-party 登录收到 403 Forbidden。在这个阶段,我不确定是身份提供者配置不正确还是我的请求缺少某些东西。我做错了什么?
以下是(匿名提出的)请求 headers。
假设 SAMLRequest 以 base64 编码形式在表单数据中提供。
:authority: myEntityDescriptorName
:method: POST
:path: mySsoURL
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
accept-encoding: gzip, deflate, br
accept-language: nl-NL,nl;q=0.9,en-US;q=0.8,en;q=0.7
cache-control: no-cache
content-length: 3582
content-type: application/x-www-form-urlencoded
cookie: JSESSIONID=3D5FE88D55674C2F1E3646E6D8A0FFBE
origin: https://localhost:44366
pragma: no-cache
referer: https://localhost:44366/
sec-fetch-mode: navigate
sec-fetch-site: cross-site
sec-fetch-user: ?1
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.97 Safari/537.36
如果需要,将 Authn 请求更改为 Post 绑定是正确的。
您的应用程序是一个服务提供者(也称为依赖方),需要在身份提供者处配置一个唯一的颁发者名称。
我认为问题是您配置的 Issuer 名称 ("Issuer": "myIssuerName") 不正确。颁发者名称应该是您的服务提供商颁发者名称,而不是 metadata.xml.