对于最新的稳定版本,请使用 Spring Security 6.3.3! |
对于最新的稳定版本,请使用 Spring Security 6.3.3! |
Spring Security 附带对 RP 和 AP 启动的 SAML 2.0 单点注销的支持。
简而言之,Spring Security 支持两种用例:
-
RP 启动的 - 您的应用程序有一个终端节点,当 POST 到该终端节点时,该终端节点将注销用户并向断言方发送 。 此后,置言方将发回 a 并允许应用程序响应
saml2:LogoutRequest
saml2:LogoutResponse
-
AP 启动的 - 您的应用程序有一个终端节点,该终端节点将从断言方接收 。 您的应用程序将在此时完成注销,然后向断言方发送 。
saml2:LogoutRequest
saml2:LogoutResponse
在 AP 发起的场景中,您的应用程序在注销后执行的任何本地重定向都将变得毫无意义。
一旦应用程序发送 ,它就不再拥有浏览器的控制权。saml2:LogoutResponse |
在 AP 发起的场景中,您的应用程序在注销后执行的任何本地重定向都将变得毫无意义。
一旦应用程序发送 ,它就不再拥有浏览器的控制权。saml2:LogoutResponse |
单点注销的最小配置
要使用 Spring Security 的 SAML 2.0 单点注销功能,您需要满足以下条件:
-
首先,断言方必须支持 SAML 2.0 单点注销
-
其次,应将断言方配置为对应用程序的端点进行签名和 POST 操作
saml2:LogoutRequest
saml2:LogoutResponse
/logout/saml2/slo
-
第三,您的应用程序必须具有 PKCS#8 私钥和用于对 s 和 s 进行签名的 X.509 证书
saml2:LogoutRequest
saml2:LogoutResponse
您可以从初始最小示例开始,然后添加以下配置:
@Value("${private.key}") RSAPrivateKey key;
@Value("${public.certificate}") X509Certificate certificate;
@Bean
RelyingPartyRegistrationRepository registrations() {
Saml2X509Credential credential = Saml2X509Credential.signing(key, certificate);
RelyingPartyRegistration registration = RelyingPartyRegistrations
.fromMetadataLocation("https://ap.example.org/metadata")
.registrationId("id")
.singleLogoutServiceLocation("{baseUrl}/logout/saml2/slo")
.signingX509Credentials((signing) -> signing.add(credential)) (1)
.build();
return new InMemoryRelyingPartyRegistrationRepository(registration);
}
@Bean
SecurityFilterChain web(HttpSecurity http, RelyingPartyRegistrationRepository registrations) throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.saml2Login(withDefaults())
.saml2Logout(withDefaults()); (2)
return http.build();
}
1 | - 首先,将您的签名密钥添加到实例或多个实例中RelyingPartyRegistration |
2 | - 其次,指示您的应用程序希望使用 SAML SLO 注销最终用户 |
运行时预期
鉴于上述配置,任何登录用户都可以向您的应用程序发送 以执行 RP 发起的 SLO。
然后,您的应用程序将执行以下操作:POST /logout
-
注销用户并使会话失效
-
使用 a 根据与当前登录用户关联的
RelyingPartyRegistration
创建、签名和序列化 。Saml2LogoutRequestResolver
<saml2:LogoutRequest>
-
根据
RelyingPartyRegistration
向断言方发送重定向或帖子 -
反序列化、验证和处理断言方发送的
<saml2:LogoutResponse>
-
重定向到任何已配置的成功注销端点
此外,当断言方向 时,您的应用程序可以参与 AP 发起的注销:<saml2:LogoutRequest>
/logout/saml2/slo
-
使用 a 反序列化、验证和处理断言方发送的
Saml2LogoutRequestHandler
<saml2:LogoutRequest>
-
注销用户并使会话失效
-
根据与刚刚注销的用户关联的
RelyingPartyRegistration
创建、签名和序列化<saml2:LogoutResponse>
-
根据
RelyingPartyRegistration
向断言方发送重定向或帖子
添加后,将向服务提供商添加注销功能。
因为它是一项可选功能,所以您需要为每个 .
您可以通过设置 property 来执行此操作。saml2Logout RelyingPartyRegistration RelyingPartyRegistration.Builder#singleLogoutServiceLocation |
1 | - 首先,将您的签名密钥添加到实例或多个实例中RelyingPartyRegistration |
2 | - 其次,指示您的应用程序希望使用 SAML SLO 注销最终用户 |
添加后,将向服务提供商添加注销功能。
因为它是一项可选功能,所以您需要为每个 .
您可以通过设置 property 来执行此操作。saml2Logout RelyingPartyRegistration RelyingPartyRegistration.Builder#singleLogoutServiceLocation |
配置 Logout 端点
有三种行为可以由不同的终端节点触发:
-
RP 发起的注销,它允许经过身份验证的用户通过向断言方发送
POST
<saml2:LogoutRequest>
-
AP 发起的注销,允许断言方向应用程序发送
<saml2:LogoutRequest>
-
AP 注销响应,允许断言方发送对 RP 发起的响应
<saml2:LogoutResponse>
<saml2:LogoutRequest>
第一个是通过在 principal 类型为 时执行 normal 触发的。POST /logout
Saml2AuthenticatedPrincipal
第二个是通过 POST 到端点触发的,该端点由断言方签名。/logout/saml2/slo
SAMLRequest
第三个是通过 POST 到端点触发的,该端点由断言方签名。/logout/saml2/slo
SAMLResponse
由于用户已登录或原始注销请求已知,因此 已知。
因此, 默认情况下 不是这些 URL 的一部分。registrationId
{registrationId}
此 URL 可在 DSL 中自定义。
例如,如果要将现有的依赖方迁移到 Spring Security,则断言方可能已经指向 。
要减少断言方的配置更改,您可以在 DSL 中配置过滤器,如下所示:GET /SLOService.saml2
-
Java
http
.saml2Logout((saml2) -> saml2
.logoutRequest((request) -> request.logoutUrl("/SLOService.saml2"))
.logoutResponse((response) -> response.logoutUrl("/SLOService.saml2"))
);
您还应该在 .RelyingPartyRegistration
自定义分辨率<saml2:LogoutRequest>
通常需要在 Spring Security 提供的默认值之外设置其他值。<saml2:LogoutRequest>
默认情况下,Spring Security 将发出 and supply:<saml2:LogoutRequest>
-
属性 - from
Destination
RelyingPartyRegistration#getAssertingPartyDetails#getSingleLogoutServiceLocation
-
属性 - GUID
ID
-
元素 - 从
<Issuer>
RelyingPartyRegistration#getEntityId
-
元素 - 从
<NameID>
Authentication#getName
要添加其他值,您可以使用 delegation,如下所示:
@Bean
Saml2LogoutRequestResolver logoutRequestResolver(RelyingPartyRegistrationResolver registrationResolver) {
OpenSaml4LogoutRequestResolver logoutRequestResolver
new OpenSaml4LogoutRequestResolver(registrationResolver);
logoutRequestResolver.setParametersConsumer((parameters) -> {
String name = ((Saml2AuthenticatedPrincipal) parameters.getAuthentication().getPrincipal()).getFirstAttribute("CustomAttribute");
String format = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient";
LogoutRequest logoutRequest = parameters.getLogoutRequest();
NameID nameId = logoutRequest.getNameID();
nameId.setValue(name);
nameId.setFormat(format);
});
return logoutRequestResolver;
}
然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutRequestResolver
http
.saml2Logout((saml2) -> saml2
.logoutRequest((request) -> request
.logoutRequestResolver(this.logoutRequestResolver)
)
);
自定义分辨率<saml2:LogoutResponse>
通常需要在 Spring Security 提供的默认值之外设置其他值。<saml2:LogoutResponse>
默认情况下,Spring Security 将发出 and supply:<saml2:LogoutResponse>
-
属性 - from
Destination
RelyingPartyRegistration#getAssertingPartyDetails#getSingleLogoutServiceResponseLocation
-
属性 - GUID
ID
-
元素 - 从
<Issuer>
RelyingPartyRegistration#getEntityId
-
元素 -
<Status>
SUCCESS
要添加其他值,您可以使用 delegation,如下所示:
@Bean
public Saml2LogoutResponseResolver logoutResponseResolver(RelyingPartyRegistrationResolver registrationResolver) {
OpenSaml4LogoutResponseResolver logoutRequestResolver =
new OpenSaml3LogoutResponseResolver(relyingPartyRegistrationResolver);
logoutRequestResolver.setParametersConsumer((parameters) -> {
if (checkOtherPrevailingConditions(parameters.getRequest())) {
parameters.getLogoutRequest().getStatus().getStatusCode().setCode(StatusCode.PARTIAL_LOGOUT);
}
});
return logoutRequestResolver;
}
然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutResponseResolver
http
.saml2Logout((saml2) -> saml2
.logoutRequest((request) -> request
.logoutRequestResolver(this.logoutRequestResolver)
)
);
自定义身份验证<saml2:LogoutRequest>
要自定义验证,您可以实施自己的 .
此时,验证是最少的,因此您可以先委托给 default,如下所示:Saml2LogoutRequestValidator
Saml2LogoutRequestValidator
@Component
public class MyOpenSamlLogoutRequestValidator implements Saml2LogoutRequestValidator {
private final Saml2LogoutRequestValidator delegate = new OpenSamlLogoutRequestValidator();
@Override
public Saml2LogoutRequestValidator logout(Saml2LogoutRequestValidatorParameters parameters) {
// verify signature, issuer, destination, and principal name
Saml2LogoutValidatorResult result = delegate.authenticate(authentication);
LogoutRequest logoutRequest = // ... parse using OpenSAML
// perform custom validation
}
}
然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutRequestValidator
http
.saml2Logout((saml2) -> saml2
.logoutRequest((request) -> request
.logoutRequestAuthenticator(myOpenSamlLogoutRequestAuthenticator)
)
);
自定义身份验证<saml2:LogoutResponse>
要自定义验证,您可以实施自己的 .
此时,验证是最少的,因此您可以先委托给 default,如下所示:Saml2LogoutResponseValidator
Saml2LogoutResponseValidator
@Component
public class MyOpenSamlLogoutResponseValidator implements Saml2LogoutResponseValidator {
private final Saml2LogoutResponseValidator delegate = new OpenSamlLogoutResponseValidator();
@Override
public Saml2LogoutValidatorResult logout(Saml2LogoutResponseValidatorParameters parameters) {
// verify signature, issuer, destination, and status
Saml2LogoutValidatorResult result = delegate.authenticate(parameters);
LogoutResponse logoutResponse = // ... parse using OpenSAML
// perform custom validation
}
}
然后,您可以在 DSL 中提供自定义,如下所示:Saml2LogoutResponseValidator
http
.saml2Logout((saml2) -> saml2
.logoutResponse((response) -> response
.logoutResponseAuthenticator(myOpenSamlLogoutResponseAuthenticator)
)
);
自定义存储<saml2:LogoutRequest>
当您的应用程序发送 时,该值将存储在会话中,以便可以验证 中的参数和属性。<saml2:LogoutRequest>
RelayState
InResponseTo
<saml2:LogoutResponse>
如果你想将注销请求存储在会话以外的某个地方,你可以在 DSL 中提供你的自定义实现,如下所示:
http
.saml2Logout((saml2) -> saml2
.logoutRequest((request) -> request
.logoutRequestRepository(myCustomLogoutRequestRepository)
)
);