Мені потрібно реалізувати ADFS в одному з моїх додатків, але я маю проблеми з тим, як це зробити.
Моя особиста ситуація полягає в тому, що додаток(SP) розміщується на AWS (хостинг тільки), а IDP - це організація третьої сторони, яка реалізує Active Directory. Думаю, у мене склалася теорія, як:
- браузер намагається отримати доступ до SP
-ПП надсилає запит на ідентифікацію до ВПО
- IDP аутентифікує користувача (користувач фізично входить)
Маркер авторизації авторизації надсилається від IDP до SP
-користувач може використовувати додаток
Було вирішено, що мені доведеться використовувати SAML 2.0 як протокол, але тепер я намагаюся з'ясувати, що саме робити і з чого почати.
Я знаю, що, так чи інакше, SAML 2.0 має бути включений на рівні додатків (SP розміщений на AWS), але як саме?
Я читав кілька повідомлень в мережі, а от на SO, але насправді - не так, що я міг би знайти хоча б - будь-який хороший підручник, який демонструє, як це зробити.
Зокрема, на ТО я натрапив на ВеснуБезпека SAML розширення і так як моя заявка є додатком навесні я думав, що це може бути гарною ідеєю, щоб почати з цього, але це все? Чи обробляє він відправлення та отримання маркерів? Наскільки я знаю, маркер запиту аутентифікації випромінюється SP (як згадано), а потім читається IDP STS, який потім відправляє назад маркер аутентифікації, але чи робить це автоматично чи це потрібно якось налаштувати?
Відповіді:
1 для відповіді № 1Ви не використовуєте ADFS у додатку. ADFS - це окремий IDP.
На якій мові ви написали SP?
"IDP - це організація третьої сторони, яка реалізує Active Directory" Це примірник ADFS або щось інше? У цьому випадку, куди потрапляє ADFS?
Те, що вам потрібно, це стек SAML на SP (саме там, де входить Spring Security).
Spring Security забезпечує метадані федерації. Це описує кінцеві точки SAML, сертифікати тощо.
Потім імпортувати цей файл метаданих в ADFS як SAML SP.
Потім ви налаштовуєте правила претензій на атрибути AD, які потрібно надіслати до SP.
Це в основному це!