在wildfly中使用SAML协议链接keycloak

目录

• 简介
• OpenID Connect和SAML
• SAML的工做流程
• 在keycloak中使用SAML
• 准备wildfy和应用程序

简介

咱们知道SSO的两个经常使用的协议分别是SAML和OpenID Connect,咱们在前一篇文章已经讲过了怎么在wildfly中使用OpenID Connect链接keycloak,今天咱们会继续讲解怎么使用SAML协议链接keycloak。

OpenID Connect和SAML

OpenID Connect简称OIDC，是一个基于OAuth2协议的认证框架。为何要基于OAuth2框架呢？由于OAuth2协议只是一个受权协议，它是不完备的，而且也没有指明具体的实现方式。因此这一切都由 OpenID Connect来填补。

OpenID Connect同时包含了认证和受权，而且使用Json Web Token（JWT）来进行消息的传递。

通常来讲OpenID Connect有两种使用场景，第一种场景是某个应用程序请求keycloak来帮它认证一个用户。该应用程序并不存储这个用户的认证信息。因此用户须要在keycloak中进行登陆，登陆成功以后keycloak会返回应用程序一个identity token 和 access token。

identity token主要包含用户的基本信息，包括用户名，邮箱和一些其余的信息。access token主要包含的是用户的访问权限信息，好比说用户的角色等。应用程序能够经过使用access token来判断用户到底能够访问应用程序的哪些资源。

还有一种场景就是client想去访问远程服务的资源，这种状况下client能够先从keycloak中获取到access token，而后使用这个access token去远程服务中请求资源。远程服务器收到了这个请求以后，会去验证这个access token，而后根据token去获取相应的信息。

SAML 2.0是基于XML的认证协议，它是在OIDC以前产生的，因此会比OIDC成熟，可是相应的也会比OIDC复杂。

SAML使用XML在应用程序和认证服务器中交换数据，一样的SAML也有两种使用场景。

第一种场景是某个应用程序请求keycloak来帮它认证一个用户。该应用程序并不存储这个用户的认证信息。因此用户须要在keycloak中进行登陆，登陆成功以后keycloak会返回应用程序一个XML文件，这个文件里面包含了一个叫作SAML assertion的东西，里面存的是用户的信息，同时这个XML文件中还包含了用户的权限信息，应用程序能够根据这个信息来对程序进行访问工做。

还有一种场景就是client想去访问远程服务的资源，这种状况下client能够先从keycloak中获取到SAML assertion，而后使用这个SAML assertion去远程服务中请求资源。

因此总结起来，通常状况下是推荐是用OIDC的，由于它比较简单和多平台支持性更强。使用SAML的场景主要考虑的是SAML的成熟性，或者说公司中已经在使用了SAML了。

SAML的工做流程

在SAML协议中定义了三个角色，分别是principal：表明主体一般表示人类用户。identity provider (IdP)身份提供者和service provider (SP)服务提供者。

IdP的做用就是进行身份认证，而且将用户的认证信息和受权信息传递给服务提供者。

SP的做用就是进行用户认证信息的验证，而且受权用户访问指定的资源信息。

根据请求方式有redirect和post的不一样，使用SAML来进行SSO认证有一般有三种方式，咱们这里介绍最简单的一种叫作SP redirect request; IdP POST response：

上图中User Agent就是web浏览器，咱们看一下若是用户想请求Service Provider的资源的时候，SAML协议是怎么处理的。

1. 用户经过User Agent请求Service Provider,好比：

http://sp.flydean.com/myresource

SP将会对该资源进行相应的安全检查，若是发现已经有一个有效的安全上下文的话，SP将会跳过2-7步，直接进入第8步。

2. 若是在第一步的时候，SP并无找到相应的有效安全上下文的话，则会生成对应的SAMLRequest，并将User Agent重定向到IdP：

302 Redirect
Location: https://idp.flydean.com/SAML2/SSO/Redirect?SAMLRequest=request&RelayState=token

RelayState是SP维护的一个状态信息，主要用来防止CSRF攻击。

其中这个SAMLRequest是用Base64编码的samlp:AuthnRequest，下面是一个samlp:AuthnRequest的例子：

<samlp:AuthnRequest
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    ID="aaf23196-1773-2113-474a-fe114412ab72"
    Version="2.0"
    IssueInstant="2020-09-05T09:21:59Z"
    AssertionConsumerServiceIndex="0"
    AttributeConsumingServiceIndex="0">
    <saml:Issuer>https://sp.flydean.com/SAML2</saml:Issuer>
    <samlp:NameIDPolicy
      AllowCreate="true"
      Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
  </samlp:AuthnRequest>

为了安全起见，SAMLRequest还可使用SP提供的签名key来进行签名。

3. User agent将会发送一个get请求到IdP的SSO server :

GET /SAML2/SSO/Redirect?SAMLRequest=request&RelayState=token HTTP/1.1
Host: idp.flydean.com

IdP收到这个AuthnRequest请求以后，将会进行安全验证，若是是合法的AuthnRequest，那么将会展现登陆界面。

4. 用户能够输入用户名密码进行登陆。登陆成功以后，IdP将会返回一个XHTML form：

<form method="post" action="https://sp.flydean.com/SAML2/SSO/POST" ...>
    <input type="hidden" name="SAMLResponse" value="response" />
    <input type="hidden" name="RelayState" value="token" />
    ...
    <input type="submit" value="Submit" />
  </form>

这个form中包含了SAMLResponse信息，SAMLResponse中包含了用户相关的信息。

一样的SAMLResponse也是使用Base64进行编码过的samlp:Response。

<samlp:Response
    xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    ID="identifier_2"
    InResponseTo="identifier_1"
    Version="2.0"
    IssueInstant="2020-09-05T09:22:05Z"
    Destination="https://sp.flydean.com/SAML2/SSO/POST">
    <saml:Issuer>https://idp.flydean.com/SAML2</saml:Issuer>
    <samlp:Status>
      <samlp:StatusCode
        Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </samlp:Status>
    <saml:Assertion
      xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
      ID="identifier_3"
      Version="2.0"
      IssueInstant="2020-09-05T09:22:05Z">
      <saml:Issuer>https://idp.flydean.com/SAML2</saml:Issuer>
      <!-- a POSTed assertion MUST be signed -->
      <ds:Signature
        xmlns:ds="http://www.w3.org/2000/09/xmldsig#">...</ds:Signature>
      <saml:Subject>
        <saml:NameID
          Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
          3f7b3dcf-1674-4ecd-92c8-1544f346baf8
        </saml:NameID>
        <saml:SubjectConfirmation
          Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
          <saml:SubjectConfirmationData
            InResponseTo="identifier_1"
            Recipient="https://sp.flydean.com/SAML2/SSO/POST"
            NotOnOrAfter="2020-09-05T09:27:05Z"/>
        </saml:SubjectConfirmation>
      </saml:Subject>
      <saml:Conditions
        NotBefore="2020-09-05T09:17:05Z"
        NotOnOrAfter="2020-09-05T09:27:05Z">
        <saml:AudienceRestriction>
          <saml:Audience>https://sp.flydean.com/SAML2</saml:Audience>
        </saml:AudienceRestriction>
      </saml:Conditions>
      <saml:AuthnStatement
        AuthnInstant="2020-09-05T09:22:00Z"
        SessionIndex="identifier_3">
        <saml:AuthnContext>
          <saml:AuthnContextClassRef>
            urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
         </saml:AuthnContextClassRef>
        </saml:AuthnContext>
      </saml:AuthnStatement>
    </saml:Assertion>
  </samlp:Response>

咱们能够看到samlp:Response中包含有saml:Assertion信息。

5. user agent 收到XHTML form以后将会提交该form给SP。

6. SP中的assertion consumer service将会处理这个请求，建立相关的安全上下文，并将user agent重定向到要访问的资源页面。

7. user agent再次请求SP资源。

8. 由于安全上下文已经建立完毕，SP能够直接返回相应的资源，不用再次到IdP进行认证。

咱们能够看到上面的全部的信息交换都是由前端浏览器来完成的，在SP和IdP之间不存在直接的通讯。

这种所有由前端来完成信息交换的方式好处就是协议流很是简单，全部的消息都是简单的GET或者POST请求。

若是为了提升安全性，也可使用引用消息。也就是说IdP返回的不是直接的SAML assertion，而是一个SAML assertion的引用。SP收到这个引用以后，能够从后台再去查询真实的SAML assertion，从而提升了安全性。

在keycloak中使用SAML

接下来，咱们看下怎么在keycloak中配置使用SAML协议。

咱们经过./standalone.sh -Djboss.socket.binding.port-offset=100启动keycloak服务器。访问 http://localhost:8180/auth/admin 能够进入到admin console界面。

注意，这里为了和本地应用程序的默认端口8080区别，咱们添加了一个-Djboss.socket.binding.port-offset=100参数，让keycloak的端口从8080变成了8180。

输入咱们建立的admin用户名和密码，就能够登陆到keycloak的admin界面。

这里须要为SAML应用建立一个新的client。

点击clients-> create 输入Client ID和Client Protocol: saml，点击save便可建立新的client。

成功建立client以后，假设咱们要部署的应用程序名叫作app-profile-saml，则须要添加下面的信息：

Valid Redirect URIs: http://localhost:8080/app-profile-saml/*

Base URL: http://localhost:8080/app-profile-saml/

Master SAML Processing URL: http://localhost:8080/app-profile-saml/saml

Force Name ID Format: ON

点保存便可。

接下来咱们须要点击mappers，建立一些用户信息和token claims的映射信息，从而可以在saml的请求中包含这些用户信息。

为了简单起见，咱们选择默认的Protocol Mapper：

最后一步，咱们须要配置adapter。

点击installation，选择Keycloak SAML Adapter keycloak-saml.xml， 点击下载。

将下载下来的keycloak-saml.xml进行修改：

将 logoutPage="SPECIFY YOUR LOGOUT PAGE!" 修改成 /index.jsp

将 entityID="saml-test" 中的entityID修改成咱们设置的entityID

将keycloak-saml.xml拷贝到咱们应用程序的config/目录下。这里咱们使用官方的应用程序，你们能够在 https://github.com/keycloak/keycloak-quickstarts/tree/latest/app-profile-saml-jee-jsp 进行下载。

在下一节，咱们将会详细讲解这个应用程序的功能和结构。

准备wildfy和应用程序

咱们从wildfly官网下载wildfly应用程序以后，还须要到keycloak中下载wildfly Client Adapters。

这里由于咱们使用的是SAML，因此须要下载 keycloak-saml-wildfly-adapter-dist-11.0.2.zip。

下载完毕以后，将其拷贝到wildfly根目录，解压便可。

解压adapter,解压以后，进入wildfly/bin目录，运行：

./jboss-cli.sh --file=adapter-elytron-install-offline.cli

便可安装完毕。

安装完毕以后，记得启动wildfly应用程序。

接下来能够编译咱们的应用程序了：

cd app-profile-saml-jee-jsp 
mvn clean wildfly:deploy

便可将咱们的应用程序部署到wildfly中。

先看下应用的运行状况，访问 http://localhost:8080/app-profile-saml/

点击login，能够看到跳转到了keycloak的登陆页面：

输入用户命名密码以后就会跳转到profile.jsp页面，从而展现用户的profile信息。

简单讲解一下应用程序的工做流程。

应用程序主要有两个页面，一个是index，一个是profile。在index页面会去检测用户是否登陆。若是未登陆，能够点击登陆按钮，跳转到登陆页面。

输入用户名和密码进行校验以后，keycloak会返回一个SAMLResponse给应用程序，应用程序经过assertion consumer service将会处理这个请求，建立相关的安全上下文，并将user agent重定向到要访问的资源页面。

本文做者：flydean程序那些事

本文连接：http://www.flydean.com/keycloak-saml-wildfly/

本文来源：flydean的博客

欢迎关注个人公众号:「程序那些事」最通俗的解读，最深入的干货，最简洁的教程，众多你不知道的小技巧等你来发现！