/ / Problema de resolución de DNS de SAML - java, spring-security, spring-saml

Problema de resolución de DNS de SAML - java, spring-security, spring-saml

Tenemos una aplicación utilizando el Spring SAMLExtensión y lo hemos configurado como un SP que funciona ejecutándose en localhost contra SSOCircle. Ahora hemos implementado en el entorno de prueba de nuestro cliente y estamos tratando de que funcione con el IDP de nuestro cliente.

Le dimos nuestros metadatos al IDP, sustituyendo http://myapp-test.acme.com:8080/myapp/saml/SSO para http://localhost:8080/myapp/saml/SSO.

Después de la autenticación, vemos esto en los registros:

o.s.s.s.m.MetadataGeneratorFilter - URL de base de entidad predeterminada generada http://someappserver.acme.com:8080/myapp Basado en valores en la primera solicitud de servidor.

org.opensaml.common.SAMLException: Destino previsto http://myapp-test.acme.com:8080/myapp/saml/SSO no coincide con ninguna de las URL de punto final para la urna de perfil: oasis: nombres: tc: SAML: 2.0: perfiles: SSO: navegador

En la ventana del navegador, vemos que la solicitud va a http://someappserver.acme.com:8080/myapp/saml/SSO.

Asi que http://myapp-test.acme.com:8080/myapp/saml/SSO resuelve a

http://someappserver.acme.com:8080/myapp/saml/SSO

¿Cómo podemos cambiar nuestro código / configuración para manejar esto? No creo que debamos codificar los metadatos al servidor de aplicaciones.

Respuestas

3 para la respuesta № 1

Las URL en los metadatos del Proveedor de servicios deben corresponder a las URL reales donde su Proveedor de servicios recibe mensajes SAML de IDP. En este caso los dos difieren.

Puedes actualizar tu securityContext.xml y cambiar frijol metadataGeneratorFilter proporcionando propiedad entityBaseURL, con la URL correcta, por ej .:

<bean id="metadataGeneratorFilter" class="org.springframework.security.saml.metadata.MetadataGeneratorFilter">
<constructor-arg>
<bean class="org.springframework.security.saml.metadata.MetadataGenerator">
<property name="entityBaseURL" value="http://myapp-test.acme.com:8080/myapp"/>
</bean>
</constructor-arg>
</bean>

Sin establecer esta propiedad, Spring SAML define el entityBaseURL y genera metadatos con él basado en el primerSolicite que reciba. En caso de que su aplicación esté disponible en múltiples URL, ésta puede ser, por supuesto, una URL diferente a la que realmente le envía su IDP.

En caso de que la URL interna vista por elel servidor de aplicaciones difiere de la URL utilizada por la persona que llama (como en su caso con la resolución DNS), puede forzar a Spring SAML a pensar que se implementó detrás de una URL pública específica cambiando el bean contextProvider a: 

<bean id="contextProvider" class="org.springframework.security.saml.context.SAMLContextProviderLB">
<property name="scheme" value="http"/>
<property name="serverName" value="myapp-test.acme.com"/>
<property name="serverPort" value="8080"/>
<property name="includeServerPortInRequestURL" value="true"/>
<property name="contextPath" value="/myapp"/>
</bean>

Puede encontrar más detalles en el capítulo del manual de Spring SAML Proxies inversos y balanceadores de carga.

preguntas relacionadas

Spring con SAML para unión de artefactos http - spring, binding, frameworks, saml, opensaml
Spring security saml extension utilizable para implementación de IDP - spring, saml, opensaml
Inicio de sesión único a través de Spring Security - spring, http, java-ee, web, spring-security
Rol / permiso SAML - Spring, Spring-Security, SAML, SAML-2.0
¿Cómo configurar el bean samlIDPDiscovery en mi nuevo SecurityContext.xml? - seguridad de primavera, saml-2.0, spring-saml
Diferentes destinos y emisores: spring-security, spring-saml.
Tiempo de espera de la sesión de SAML Spring Security - spring-security, saml, spring-saml
Necesito desarrollar el servicio web usando Saml y Wso2Is con seguridad - spring-security, wso2, saml-2.0, wso2is, spring-saml
Spring security saml SSO - Autorizar múltiples recursos - spring-saml
¿Debo usar Spring Security SAML o Shiboleth SP cuando se esperan varias aplicaciones? - bota de resortes, resortes de seguridad, manantial, shibboleth
SAML: cómo implementar SSO (inicio de sesión único) para una aplicación web: inicio de sesión único, saml, opensaml
Sitio habilitado para SAML - saml, saml-2.0, okta, okta-api
Implementando ADFS en la aplicación ¿Cómo? - saml-2.0, adfs
Identificación / Autenticación Forward - oauth, kerberos, saml
Ejemplo de un módulo de inicio de sesión SAML para JAAS: java, security, saml, jaas
solo marque SAML autenticado, no reenvíe - java, spring, spring-security, saml, spring-saml
Spring Security usando SAML 1.1 - java, primavera, seguridad de primavera, primavera-saml
cómo implementar la autenticación SAML en la aplicación web java utilizando salesforce.com como proveedor de identidad - java, spring-saml
Spring Security SAML DisabledException no se lanza - griales, spring-security, spring-saml
Spring SAML - Use CA Root Cert en lugar de Server public cert en JKS - certificado, spring-saml, ca