Обработка ответа SAML с помощью Spring SAML

Я разработал поставщика услуг с помощью Spring SAML. Я настроил несколько IdP, каждый из которых использует разные соглашения об именах для атрибутов.

  1. Могу ли я зарегистрировать (в файле logs/catalina.out Tomcat) весь ответ SAML после успешного процесса AuthN?
  2. Существуют ли некоторые встроенные функции для определения связи между EntityID определенного поставщика удостоверений и атрибутом, который отображает возвращенный userID?
  3. Я также читаю о формате OID: как мне правильно декодировать такие данные?

Обновление:

Что касается первого вопроса, согласно документации, я настраиваю как ведение журнала отладки, так и ведение журнала проверки подлинности следующим образом:

// Logger for SAML messages and events
@Bean
public SAMLDefaultLogger samlDefaultLogger() {
    SAMLDefaultLogger samlDefaultLogger = new SAMLDefaultLogger();
    samlDefaultLogger.setLogMessages(true);
    samlDefaultLogger.setLogErrors(true);
    return samlDefaultLogger;
}

Затем, определив log4j.properties следующим образом:

log4j.logger.org.springframework.security.saml=DEBUG
log4j.logger.org.opensaml=DEBUG

И правильно настроив Maven pom.xml

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter</artifactId>
        <exclusions>
            <exclusion>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-logging</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

Несмотря на это, полный ответ SAML не появляется (я ожидаю сообщение XML). Результат выглядит следующим образом:

[2014-07-29 14:13:51.985] boot - 1118 DEBUG [http-bio-443-exec-38] --- MetadataCredentialResolver: Attempting to retrieve credentials from cache using index: [http:/test.idp.prv/services/trust,{urn:oasis:names:tc:SAML:2.0:metadata}IDPSSODescriptor,urn:oasis:names:tc:SAML:2.0:protocol,SIGNING]
[2014-07-29 14:13:51.985] boot - 1118 DEBUG [http-bio-443-exec-38] --- MetadataCredentialResolver: Retrieved credentials from cache using index: [http:/test.idp.prv/services/trust,{urn:oasis:names:tc:SAML:2.0:metadata}IDPSSODescriptor,urn:oasis:names:tc:SAML:2.0:protocol,SIGNING]
[2014-07-29 14:13:51.985] boot - 1118 DEBUG [http-bio-443-exec-38] --- EvaluableCredentialCriteriaRegistry: Registry located evaluable criteria class org.opensaml.xml.security.credential.criteria.EvaluableUsageCredentialCriteria for criteria class org.opensaml.xml.security.criteria.UsageCriteria
[2014-07-29 14:13:51.986] boot - 1118 DEBUG [http-bio-443-exec-38] --- EvaluableCredentialCriteriaRegistry: Registry located evaluable criteria class org.opensaml.xml.security.credential.criteria.EvaluableKeyAlgorithmCredentialCriteria for criteria class org.opensaml.xml.security.criteria.KeyAlgorithmCriteria
[2014-07-29 14:13:51.986] boot - 1118 DEBUG [http-bio-443-exec-38] --- EvaluableCredentialCriteriaRegistry: Registry located evaluable criteria class org.opensaml.xml.security.credential.criteria.EvaluableEntityIDCredentialCriteria for criteria class org.opensaml.xml.security.criteria.EntityIDCriteria
[2014-07-29 14:13:51.986] boot - 1118 DEBUG [http-bio-443-exec-38] --- EvaluableCredentialCriteriaRegistry: Registry could not locate evaluable criteria for criteria class org.opensaml.security.MetadataCriteria
[2014-07-29 14:13:51.987] boot - 1118 DEBUG [http-bio-443-exec-38] --- BaseSignatureTrustEngine: Attempting to verify signature and establish trust using KeyInfo-derived credentials
[2014-07-29 14:13:51.987] boot - 1118 DEBUG [http-bio-443-exec-38] --- BasicProviderKeyInfoCredentialResolver: Found 0 key names: []
[2014-07-29 14:13:51.987] boot - 1118 DEBUG [http-bio-443-exec-38] --- BasicProviderKeyInfoCredentialResolver: Processing KeyInfo child with qname: {http://www.w3.org/2000/09/xmldsig#}X509Data
[2014-07-29 14:13:51.987] boot - 1118 DEBUG [http-bio-443-exec-38] --- BasicProviderKeyInfoCredentialResolver: Provider org.opensaml.xml.security.keyinfo.provider.RSAKeyValueProvider doesn't handle objects of type {http://www.w3.org/2000/09/xmldsig#}X509Data, skipping
[2014-07-29 14:13:51.988] boot - 1118 DEBUG [http-bio-443-exec-38] --- BasicProviderKeyInfoCredentialResolver: Provider org.opensaml.xml.security.keyinfo.provider.DSAKeyValueProvider doesn't handle objects of type {http://www.w3.org/2000/09/xmldsig#}X509Data, skipping
[2014-07-29 14:13:51.988] boot - 1118 DEBUG [http-bio-443-exec-38] --- BasicProviderKeyInfoCredentialResolver: Processing KeyInfo child {http://www.w3.org/2000/09/xmldsig#}X509Data with provider org.opensaml.xml.security.keyinfo.provider.InlineX509DataProvider
[2014-07-29 14:13:51.988] boot - 1118 DEBUG [http-bio-443-exec-38] --- InlineX509DataProvider: Attempting to extract credential from an X509Data
[2014-07-29 14:13:51.993] boot - 1118 DEBUG [http-bio-443-exec-38] --- InlineX509DataProvider: Found 1 X509Certificates
[2014-07-29 14:13:51.993] boot - 1118 DEBUG [http-bio-443-exec-38] --- InlineX509DataProvider: Found 0 X509CRLs
[2014-07-29 14:13:51.993] boot - 1118 DEBUG [http-bio-443-exec-38] --- InlineX509DataProvider: Single certificate was present, treating as end-entity certificate
[2014-07-29 14:13:51.994] boot - 1118 DEBUG [http-bio-443-exec-38] --- BasicProviderKeyInfoCredentialResolver: Credentials successfully extracted from child {http://www.w3.org/2000/09/xmldsig#}X509Data by provider org.opensaml.xml.security.keyinfo.provider.InlineX509DataProvider
[2014-07-29 14:13:51.994] boot - 1118 DEBUG [http-bio-443-exec-38] --- BasicProviderKeyInfoCredentialResolver: A total of 1 credentials were resolved
[2014-07-29 14:13:51.994] boot - 1118 DEBUG [http-bio-443-exec-38] --- EvaluableCredentialCriteriaRegistry: Registry could not locate evaluable criteria for criteria class org.opensaml.xml.security.keyinfo.KeyInfoCriteria
[2014-07-29 14:13:51.994] boot - 1118 DEBUG [http-bio-443-exec-38] --- SignatureValidator: Attempting to validate signature using key from supplied credential
[2014-07-29 14:13:51.994] boot - 1118 DEBUG [http-bio-443-exec-38] --- SignatureValidator: Creating XMLSignature object
[2014-07-29 14:13:51.995] boot - 1118 DEBUG [http-bio-443-exec-38] --- SignatureValidator: Validating signature with signature algorithm URI: http://www.w3.org/2000/09/xmldsig#rsa-sha1
[2014-07-29 14:13:51.995] boot - 1118 DEBUG [http-bio-443-exec-38] --- SignatureValidator: Validation credential key algorithm 'RSA', key instance class 'sun.security.rsa.RSAPublicKeyImpl'
[2014-07-29 14:13:51.999] boot - 1118 DEBUG [http-bio-443-exec-38] --- SignatureValidator: Signature validated with key from supplied credential
[2014-07-29 14:13:51.999] boot - 1118 DEBUG [http-bio-443-exec-38] --- BaseSignatureTrustEngine: Signature validation using candidate credential was successful
[2014-07-29 14:13:51.999] boot - 1118 DEBUG [http-bio-443-exec-38] --- BaseSignatureTrustEngine: Successfully verified signature using KeyInfo-derived credential
[2014-07-29 14:13:51.999] boot - 1118 DEBUG [http-bio-443-exec-38] --- BaseSignatureTrustEngine: Attempting to establish trust of KeyInfo-derived credential
[2014-07-29 14:13:51.999] boot - 1118 DEBUG [http-bio-443-exec-38] --- ExplicitKeyTrustEvaluator: Successfully validated untrusted credential against trusted key
[2014-07-29 14:13:52.000] boot - 1118 DEBUG [http-bio-443-exec-38] --- BaseSignatureTrustEngine: Successfully established trust of KeyInfo-derived credential
[2014-07-29 14:13:52.000] boot - 1118 DEBUG [http-bio-443-exec-38] --- WebSSOProfileConsumerImpl: Processing Bearer subject confirmation
[2014-07-29 14:13:52.000] boot - 1118 DEBUG [http-bio-443-exec-38] --- WebSSOProfileConsumerImpl: Verifying received AuthnContext org.opensaml.saml2.core.impl.AuthnContextImpl@3ab2fc5f against requested null
[2014-07-29 14:13:52.001] boot - 1118  INFO [http-bio-443-exec-38] --- PrismaUserDetailsServiceImpl: SAML Response      EntityID: urn:com:vdenotaris:mysp
[2014-07-29 14:13:52.001] boot - 1118  INFO [http-bio-443-exec-38] --- PrismaUserDetailsServiceImpl: SAML Response      RemoteEntityID: http:/test.idp.prv/services/trust

Обратите внимание, что последние две строки определены мной вручную.


spring saml saml-2.0 spring-saml
person vdenotaris    schedule 29.07.2014    source источник

Ответы (2)


arrow_upward
8
arrow_downward

  1. Вы можете использовать любое ведение журнала отладки (глава 6.5) или журнал проверки подлинности (глава 9.5) со свойством logMessages, установленным на true. Оба могут записывать сообщения в catalina.out (поскольку они просто отправляют журналы в slf4j).

  2. Нет, вам нужно внедрить такую ​​логику в свой SAMLUserDetailsService

  3. Вы можете загрузить все полученные атрибуты из объекта SAMLCredential с помощью вызовов getAttributeByName и getAttributes, возвращенный объект Attribute содержит методы, позволяющие анализировать любую полученную структуру атрибутов. В Spring SAML нет специальных парсеров.

    Атрибуты с данными в некотором типе OID обычно кодируются как xsd:string или xsd:xsd:base64Binary, и вы можете получить необработанное строковое значение для обоих, как в примере из главы 9.4. Предоставление дополнительных возможностей для анализа закодированной строки в соответствующий тип Java (на основе OID) выходит за рамки Spring SAML.

Есть ли какой-то особый тип/OID, который вас интересует? Вы имеете в виду этот профиль?

person Vladimír Schäfer    schedule 29.07.2014
comment
Я должен разобрать такой ответ: wiki.infn. it/_media/cn/ccr/aai/howto/attribute-map.xml - person vdenotaris; 29.07.2014
comment
Значения в этом документе — это просто строки, для них не нужен специальный анализ. - person Vladimír Schäfer; 29.07.2014
comment
Пожалуйста, прочтите главу 6.5 в руководстве... Она содержит следующее: log4j.logger.PROTOCOL_MESSAGE=DEBUG, который начнет протоколирование содержимого ваших сообщений SAML. - person Vladimír Schäfer; 29.07.2014
comment
Извините, я совсем пропустил эту строчку! - person vdenotaris; 29.07.2014
comment
Без проблем. Кстати, по какой-то причине я не вижу в вашем журнале вывод из SAMLDefaultLogger, который в противном случае включал бы расшифрованное сообщение. Возможно, вы все еще захотите изучить это, возможно, это какая-то проблема с конфигурацией ведения журнала. Строка должна выглядеть так: 2014-07-29 15:46:54.676 INFO 7688 --- [nio-8080-exec-5] o.s.security.saml.log.SAMLDefaultLogger : AuthNRequest;SUCCESS;0:0:0:0 :0:0:0:1;urn:it:miur:prisma;idp.ssocircle.com; ;‹?xml версия=1.0 кодировка=UTF- ..... - person Vladimír Schäfer; 29.07.2014
comment
Еще нет, я только что вернулся из отпуска. Я буду на работе в ближайшие дни. - person vdenotaris; 18.08.2014

arrow_upward
0
arrow_downward

Как насчет того, чтобы добавить это:

log4j.logger.PROTOCOL_MESSAGE=DEBUG

Или это для Logback:

<logger name="PROTOCOL_MESSAGE" level="DEBUG" />
person sbzoom    schedule 07.07.2017