Пример SAML LoginModule для JAAS

Question

Кто-нибудь имел опыт создания JAAS LoginModule, который использует SAML для аутентификации и авторизации пользователя?Как я понимаю JAAS, для этого, скорее всего, потребуется специальный CallbackHandler, который понимает и может анализировать сообщение SAML.

В моем случае авторизация определяется как набор ролей в базе данных, но, как ваш типичный вход в базу данныхМодуль.Однако в этой системе пароли не хранятся.Вместо этого пользователи проходят аутентификацию на другом сайте, и обмен SAML используется для передачи этого события аутентификации в нашу систему.

Я надеюсь, что код нашего приложения не будет иметь непосредственного отношения к SAML и сможет использовать его.Стандартные методы JAAS для управления разрешениями / ролями / и т. д.

Пример был бы весьма полезен, но любые ссылки, которые вы, возможно, нашли, также были бы замечательными.

Answer 1

Основная проблема, с которой вы столкнетесь, заключается в том, что не существует стандартного способа отправки учетных данных пользователя в IdP. В потоке SAML Web SSO у вас есть браузер, поэтому IdP может просто открыть страницу с запросом учетных данных. В потоке ECP, который не предполагает браузер, не предусмотрен стандартный способ доставки учетных данных. HTTP BASIC аутентификация? WS-Security? Что-то еще?

Итак, прежде чем идти дальше, вам необходимо знать, какие профили SAML поддерживают IdP и, если поддерживается ECP, какие механизмы доступны для принятия учетных данных пользователя.