Нужно SSO по протоколу SAML. Кто делал? / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Нужно SSO по протоколу SAML. Кто делал?

42 сообщений из 42, показаны все 2 страниц

все

Нужно SSO по протоколу SAML. Кто делал?

#39063797

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Т.е. нужна авторизация напр. обычного приложения (JSP\Servlet) с крупным заказчиком.
Я так понял, что на первом этапе при входе в наше приложение появляется окно авторизации по примеру Одноклассников.
Пока нарыл такие туторы:
http://habrahabr.ru/company/eastbanctech/blog/193662/
(мутновато и много шагов)))
https://wiki.eclipse.org/SAML2_IdP_Development_1.1
(связь с иклипсом, что желательно)
но выскакивает ошибка

Код: java

1.
2.
3.
4.
5.
6.

Exception in thread "main" org.apache.bcel.verifier.exc.AssertionViolatedException: 
FOUND:
	INTERNAL ERROR: Oops!
Exiting!!

	at org.apache.bcel.verifier.exc.AssertionViolatedException.main(AssertionViolatedException.java:102)

что за ошибка?
...
и есть вроде вариант работать с:
idP (identity prov) - Shibboleth реализующую SAML 2.0

...

Рейтинг:

0 / 0

29.09.2015, 09:28

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39063875

Blazkowicz

Участник

Сообщения: 25 080

Рейтинг: 0 / 0

Какая-то странная точка входа.

Код: java

1.
2.
3.
4.
5.
6.
7.
8.

	 /** 
	 * DO NOT USE. It's for experimental testing during development only.
	 */
	public static void main(String[] args){
		AssertionViolatedException ave = new AssertionViolatedException("Oops!");
		ave.extendMessage("\nFOUND:\n\t","\nExiting!!\n");
		throw ave;
	}

Как запускаешь?

...

Рейтинг:

0 / 0

29.09.2015, 10:21

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39063913

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

BlazkowiczКак запускаешь?
вторая ссылка, там проект клиента и сервера.
Проект клиента скачал и запустил в иклипсе на томкат
Счас ещё раз проверю и отпишу.

...

Рейтинг:

0 / 0

29.09.2015, 10:52

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064022

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

Очень сильно зависит от Identity provider'а (не поддерживают полностью стандарт SAML2, нужен доступ к логам для разработки). У меня был ADFS. Использовал библиотеку sibotteh saml 2.

...

Рейтинг:

0 / 0

29.09.2015, 12:24

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064054

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892Очень сильно зависит от Identity provider'а (не поддерживают полностью стандарт SAML2, нужен доступ к логам для разработки). У меня был ADFS. Использовал библиотеку sibotteh saml 2.
пров большой и серьёзный. Счас уточнил, нужен именно SAML 2.
Полностью или нет покрыт неважно.
Главное чтобы у нас Hello World работал)).
Если есть ссылки \ куски кода - буду благодарен.

...

Рейтинг:

0 / 0

29.09.2015, 12:45

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064088

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

Там сначала надо сгенерировать ключи (для подписи(ообязательно), для шифрования - по желанию), затем сгенерить сервис провайдер metadata xml который содержит ваши открытые ключи и URL куда редиректить Idp будет, затем импортнуть в Idp эту штуку, затем в Idp настроить инфу кот он будет передавать Вам вместе с сообщением "о заходе пользователя" (напр. username).
Вообще за неделю можно раскурить тему))

В приложении минимально возможный sp metadata xml который импортировался в Microsoft AD Federation Services.

...

Рейтинг:

0 / 0

29.09.2015, 13:07

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064204

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
спс.
Выше ссылки и методы что я давал не в том направлении что вы делали?
Пока тыкаюсь в простейшем примере чтобы запустить hello world из одной строки в JSP и редиректом на проверку по SSO.
Копаю пример-проект с конфигом в web.xml (/oiosaml.java-demo-11330)
oiosaml.configuration.FileConfiguration - oiosaml-j.name was not defined in web.xml
=

Код: java

<env-entry-value>d:\oiosaml-config</env-entry-value>

...

Рейтинг:

0 / 0

29.09.2015, 14:11

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064235

mad_nazgul

Участник

Сообщения: 3 848

Рейтинг: 0 / 0

Petro123no56892,
спс.
Выше ссылки и методы что я давал не в том направлении что вы делали?
Пока тыкаюсь в простейшем примере чтобы запустить hello world из одной строки в JSP и редиректом на проверку по SSO.
Копаю пример-проект с конфигом в web.xml (/oiosaml.java-demo-11330)
oiosaml.configuration.FileConfiguration - oiosaml-j.name was not defined in web.xml
=

Код: java

<env-entry-value>d:\oiosaml-config</env-entry-value>

Я сейчас на jBoss делаю SSO с SAML2.
Там используется picketlink

Вот примеры .

Вот это документация от jBoss .

Если работать в рамках одного домена, то танцы с ключами не нужны.
Смотреть в примерах: picketlink-federation-saml-idp-basic - для идентификации
И picketlink-federation-saml-sp-redirect-basic - для доступа.

Там куча примеров.
Но эти два показывают как сделать приложение для логина и как им воспользоваться из другого приложения.

...

Рейтинг:

0 / 0

29.09.2015, 14:42

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064426

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

mad_nazgul,
спс. Примеров много).
Не могу придумать как интегрировать с APEX оракля.
Он не позволяет у себя писать код гна Java. Только PL процедуры сервера.
Либо как бы из хранимки http.p() во внешний инет запрос типа AJAX.
Либо Java обёрнутая хранимкой.
Это всё не то.. и библиотеки там не подключить.
..
- Значит либо своё мин приложение получив токен пишет в куку и редирект на APEX
- Значит либо своё мин приложение получив токен пишет в БД и редирект на APEX
- Значит либо своё мин приложение как прокси постоянно висит перед APEX...

...

Рейтинг:

0 / 0

29.09.2015, 17:03

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064593

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

Для начала я бы посоветовал выяснить какой Idp будет использоваться у ваших партнеров, и получить доступ к его логам (если не дадут, то поднять у себя локально на виртуалке). Про то как сам протокол работает хорошо написано в вики.
А вот более детально (в тч формат сообщений):
http://saml.xml.org/saml-specifications

Для логина/логаута нужно не много сообщений.

...

Рейтинг:

0 / 0

29.09.2015, 19:04

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064626

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
Может я не понял, но до разбора логов и парсинга xml мы вроде не опускаемся?
Максимум должен быть jar ник с API и получаем ФИО с Одноклассников.
Так?

...

Рейтинг:

0 / 0

29.09.2015, 19:37

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064639

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

А у вас Одноклассники разве? Вы же говорили про SAML и Idp провайдера?
Ну парсить xml не потребуется если Вы будете использовать Shibboleth библиотеку. Она как бы для двух частей - в SAML есть идентити провайдер (это тот у кого пользователи хранятся) "сервер" и сервис провайдер (это ваш сайт, на который предыдущим пользователям хотите дать доступ) "клиент". Библиотека Shibboleth она и для того и для другого, у Вас насколько я понял идентити провайдер уже есть, тоесть Вам надо написать к нему "клиент". Если не использовать эту библиотеку - тогда вручную парсить/составлять xml. Если ваш идентити провайдер предлставляет jar с апи - тогда вообще в чем проблема? (я просто не знаю бывает ли такое, по крайней мере я делал "чисто по протоколу" обмен). Логи нужны, т.к. Вам не будут присылаться ошибки (просто ничего не будет присылаться) и так оч сложно понять в чем дело - чисто для этих целей.

...

Рейтинг:

0 / 0

29.09.2015, 19:56

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064647

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
Одн-ки пример.
IdP в 1 посте.

...

Рейтинг:

0 / 0

29.09.2015, 20:08

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064650

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
Что делать если там где польз-ли, напр.
Одн... их слишком много.
Заводить своих?
Или заводить не всех а как бы по приглашению.

...

Рейтинг:

0 / 0

29.09.2015, 20:12

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064652

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Хм...
К примеру фирма ГАИ хочет прогу с водителями которые стучат на других водителей.
Из Од-ков берём ФИО чтобы не врали.
Тогда idP будет у меня и он общается с Одноклассниками.
Так? 3 стороны а не 2.
Так?

...

Рейтинг:

0 / 0

29.09.2015, 20:18

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064660

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

Вы это сервис провайдер, Idp провайдер - уже есть и работает у вашего заказчика, все пользователи у него в базе. Если Вы про то, как же Вам узнать имя пользователя и др инфу если у вас их нет, то какие именно данные Вам передавать настраивается на стороне Idp провайдера, и отсылаются вам при успешном логине пользователя.

пример зашел кто-то к вам на сайт, вы смотрите сессию там нет пользователя - формируете SAML AuthRequest, подписываете шифруете, и шлете клиенту Location redirect: idpprovider.net/saml/somthingelse?SAMLRequest=<base64 вашего AuthRequest>, далее клиент переходит на сайт Idp провайдера и если он там не залогинен то логинится, если уже залогинен - то Idp посылает клиенту Location redirect: yoursite.com/samlLoginResponse?SAMLResponse=<base64 SamlResponse на Вам SamlRequest> Вы его дешифруете, проверяете подпись, и получаете примерно:

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.

<Assertion>
 <Status>success</Status>
</Assertion>
<Attributes>
<Username>John</Username>
<Email>lalalal@rere<;/Email>
и т.д.
</Attributes>

Как то так (естественно там можно и через POST и артифакт и т.д. это все уже детали)

...

Рейтинг:

0 / 0

29.09.2015, 20:36

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064679

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892Вы это сервис провайдер, Idp провайдер - уже есть и работает у вашего заказчика, все пользователи у него в базе.
вот это применительно к аналогу выше с ГАИ как сказать?

...

Рейтинг:

0 / 0

29.09.2015, 21:30

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064685

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

mad_nazgul,
у меня пров рекомендует шибболе. А твоё на томкат идёт? бесплатен? Уж очень хороши примеры у тебя).

...

Рейтинг:

0 / 0

29.09.2015, 21:37

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39064795

mad_nazgul

Участник

Сообщения: 3 848

Рейтинг: 0 / 0

Petro123mad_nazgul,
у меня пров рекомендует шибболе. А твоё на томкат идёт? бесплатен? Уж очень хороши примеры у тебя).

Точно не скажу. Но по документации вроде бы можно прикрутить к tomcat.
Ну как минимум свободен. ;-)

...

Рейтинг:

0 / 0

30.09.2015, 07:22

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39066377

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

половина работ сделана с этими либами

commons-codec-commons-codec.jar
commons-collections-commons-collections.jar
commons-configuration-commons-configuration.jar
commons-digester-commons-digester.jar
commons-fileupload-commons-fileupload.jar
commons-httpclient-commons-httpclient.jar
commons-io-commons-io.jar
commons-lang-commons-lang.jar
commons-logging-commons-logging.jar
esapi
joda-time-joda-time.jar
log4j-log4j.jar
not-yet-commons-ssl-0.3.9.jar
oiosaml.java
opensaml-2.5.1.jar
openws-1.4.2.jar
org.apache.santuario-xmlsec.jar
org.apache.velocity-velocity.jar
org.bouncycastle-bcprov-jdk15.jar
org.slf4j-slf4j-api.jar
org.slf4j-slf4j-log4j12.jar
xalan-serializer.jar
xalan-xalan.jar
xerces-xercesImpl.jar
xml-resolver-xml-resolver.jar
xmltooling-1.3.2.jar

ответка от сервера заказчика idP получаем.
копаем дальше))

...

Рейтинг:

0 / 0

01.10.2015, 17:21

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39066508

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

да там транзитив все небойсь)

...

Рейтинг:

0 / 0

01.10.2015, 21:54

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39066531

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
не понял твой сленг)).
Что есть для перехвата и отладки?
Что-то на лету перекодирует из base64? Или сниффер? Или обычный FireBug в фоксе? Он показывает сетевые get\post.
Я так понял, что удобнее всего увидеть пересылаемый XML?
Т.к. у меня окно idP не с логин формой, а с его ошибкой, то согласен что нужны логи.
Они будут не скоро.
Шибболе поднять? Почему на виртуалке? На одной машине томкат и он будет работать?
Что поднять для простейшего idP? Хотя ты исп-л ADFS и сравнивать сложно...

...

Рейтинг:

0 / 0

01.10.2015, 22:41

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39066537

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/
завтра опробуем

...

Рейтинг:

0 / 0

01.10.2015, 22:45

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39067034

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Petro123 https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/
завтра опробуем
замечательная штука. Кажет чистый SAML запрос.
....
Что можно сделать или оттрассировать по этой ошибке?

...

Рейтинг:

0 / 0

02.10.2015, 12:56

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39067092

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

как сделать чтобы idP возвращал не эту картинку, а POST с таким ответом - стектрейсом

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.

    <p>Stacktrace:</p>
    <pre>
dk.itst.oiosaml.error.InvalidCertificateException: Certificate for aai.rzg.mpg.de/idp/rzg/shibboleth
 expired at Tue Jun 17 15:58:12 CEST 2014, current: Fri Oct 02 12:29:14 CEST 2015
    at dk.itst.oiosaml.sp.metadata.IdpMetadata$Metadata.getCertificate(IdpMetadata.java:286)  
    at dk.itst.oiosaml.sp.service.SAMLAssertionConsumerHandler.handleSAMLResponse(SAMLAssertionConsumerHandler
.java:131)  
    at dk.itst.oiosaml.sp.service.SAMLAssertionConsumerHandler.handlePost(SAMLAssertionConsumerHandler
.java:92)  
    at dk.itst.oiosaml.sp.service.DispatcherServlet.doPost(DispatcherServlet.java:151)  
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:637)  
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)  
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:290
)  
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)  
    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:233)  
    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:191)  
    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:127)  
    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102)  
    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:109)  
    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:298)  
    at org.apache.jk.server.JkCoyoteHandler.invoke(JkCoyoteHandler.java:190)  
    at org.apache.jk.common.HandlerRequest.invoke(HandlerRequest.java:291)  
    at org.apache.jk.common.ChannelSocket.invoke(ChannelSocket.java:769)  
    at org.apache.jk.common.ChannelSocket.processConnection(ChannelSocket.java:698)  
    at org.apache.jk.common.ChannelSocket$SocketConnection.runIt(ChannelSocket.java:891)  
    at org.apache.tomcat.util.threads.ThreadPool$ControlRunnable.run(ThreadPool.java:690)  
    at java.lang.Thread.run(Thread.java:619)  
      </pre>

...

Рейтинг:

0 / 0

02.10.2015, 13:35

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39067148

mad_nazgul

Участник

Сообщения: 3 848

Рейтинг: 0 / 0

Petro123,

Говорит ему cookie нужны.
Посмотрите какие cookie он передает/создает, попробуйте их подсунуть.

...

Рейтинг:

0 / 0

02.10.2015, 14:23

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39067179

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

mad_nazgulPetro123,
Говорит ему cookie нужны.
Посмотрите какие cookie он передает/создает, попробуйте их подсунуть.
imho неее
Это вроде стандартный скрин для отлупа: "У меня ошибка, посмотрите там у себя что вы там делаете не то...."
Т.е. это наверно не отдаёт мне трейс из-за отсутстывия сертификата.
2. Вызов его идёт только через URL в котором в base64 всё сообщение. Куков никаких нет.

...

Рейтинг:

0 / 0

02.10.2015, 14:53

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39067616

mad_nazgul

Участник

Сообщения: 3 848

Рейтинг: 0 / 0

Petro123mad_nazgulPetro123,
Говорит ему cookie нужны.
Посмотрите какие cookie он передает/создает, попробуйте их подсунуть.
imho неее
Это вроде стандартный скрин для отлупа: "У меня ошибка, посмотрите там у себя что вы там делаете не то...."
Т.е. это наверно не отдаёт мне трейс из-за отсутстывия сертификата.
2. Вызов его идёт только через URL в котором в base64 всё сообщение. Куков никаких нет.

Вам наверно виднее...
Но у меня проблема с SSO была, что я не мог м/у редиректами корректно передать cookie.
В один из моментов создавалась новая cookie, я так и не понял на каком.
Пришлось мутить iframe.

...

Рейтинг:

0 / 0

03.10.2015, 14:36

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39067674

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

mad_nazgulНо у меня проблема с SSO была, что я не мог м/у редиректами корректно передать cookie.
ну тогда давайте вместе в понедельник.....если не заняты...всякое бывает....
- у меня фильтр перед JSP
- при заходе на эту страничку с защитой (методом фильтра) отправляется пост на idP сервер в формате XML+base64+подпись на пост.
- мой скрин где шибболле, говорит о том что ОН получив ЭТОТ запрос вывел ошибку показав тот скрин.
всё. Пока никакими куками тут не пахнет.
Возможно позже они появятся.

...

Рейтинг:

0 / 0

03.10.2015, 18:52

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39068170

mad_nazgul

Участник

Сообщения: 3 848

Рейтинг: 0 / 0

Petro123mad_nazgulНо у меня проблема с SSO была, что я не мог м/у редиректами корректно передать cookie.
ну тогда давайте вместе в понедельник.....если не заняты...всякое бывает....
- у меня фильтр перед JSP
- при заходе на эту страничку с защитой (методом фильтра) отправляется пост на idP сервер в формате XML+base64+подпись на пост.
- мой скрин где шибболле, говорит о том что ОН получив ЭТОТ запрос вывел ошибку показав тот скрин.
всё. Пока никакими куками тут не пахнет.
Возможно позже они появятся.

Х.з. у меня все ч/з JSESSIONID. В какой-то момент, одна из кук "подменяется".
Т.е. это заморочки специфичные для jBoss. Не уверен, что для вас так же.

...

Рейтинг:

0 / 0

05.10.2015, 10:58

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39068181

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

mad_nazgul,
OK
Вынужден ставить локально idP Shibbole для отладки.
- припробном запуске
https://localhost:8443/idp/status
выдаёт сначала фок что сертификат не доверенный.
Я его как обычно - Понимаю риск - Да - Да
и потом ошибка
SSL-узел не может верифицировать ваш сертификат. (Код ошибки: ssl_error_bad_cert_alert)
...
кто знает что за ошибка?
Кто на ком стоял и кому от кого нужен сертификат?

...

Рейтинг:

0 / 0

05.10.2015, 11:10

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39070956

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

вопрос больше к админам, но может тут кто подскаже варианты.
Для тестирования пришлось вынести Shibbole на свой тестовый сервер с внешним IP http://AutoPOI.ru
Как пишут в сети, его развертывание совсем не для средних умов)). Но всё равно приходится).
В доках везде написано что нужен поддомен вида idp.yourdomain.com
http://www.cybera.ca/news-and-events/tech-radar/getting-started-on-shibboleth
Preparation раздел.
...
Сейчас сервер развёрнут и откликается:
https://autopoi.ru/idp/profile/Status
= OK
https://autopoi.ru/idp/Authn/UserPassword
= страничка с логин-пароль
Но, для запросов к нему он выдаёт конфиг с поддоменом

Код: xml

<ArtifactResolutionService index="1" Location="https://idp.autopoi.ru:8443/idp/profile/SAML1/SOAP/ArtifactResolution"

При установке сервера, код не даёт ввести домен без поддомена idp.
Отсюда и такая строка запроса.
...
Вопрос, как добавить поддомен по быстрому?
На Debian как написано правкой файла?
Или через DNS моего провайдера (сутки пройдут).

...

Рейтинг:

0 / 0

07.10.2015, 16:32

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39070968

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

готов попробовать любые действия со своим сервером для создания поддомена))

...

Рейтинг:

0 / 0

07.10.2015, 16:43

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39070980

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

вот в сети есть пример сервера для тестов по сабжу testshib.org
Он тоже выдаёт пример метаинформации для связи с idP:
https://idp.testshib.org/idp/shibboleth
где EntityDescriptor с поддоменом
(EntityDescriptor entityID=" https://idp.testshib.org/idp/shibboleth">)

...

Рейтинг:

0 / 0

07.10.2015, 16:54

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39071008

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

пришёл Гений админ и всё решил.
Как временная мера для тестов достаточно hosts файл попправить на клиенте.
Сервер будет находится и резолвится.
Как временная мера правка клиента подойдёт. Счас проверим, поверит ли этому сам idP сервак.

...

Рейтинг:

0 / 0

07.10.2015, 17:21

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39071298

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

Petro123пришёл Гений админ и всё решил.
Как временная мера для тестов достаточно hosts файл попправить на клиенте.
Сервер будет находится и резолвится.
Как временная мера правка клиента подойдёт. Счас проверим, поверит ли этому сам idP сервак.
А Вы уверены что у Вас на продакшене будет шиболле? А то может зря стараетесь - ну, тоесть опыт конечно будет, но вот сразу может и не взлететь - в этой сфере все очень индивидуально))

...

Рейтинг:

0 / 0

07.10.2015, 22:00

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39071319

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

OFF
no56892,
ну а почему бы не поизучать новые технологии). Тем более за деньги.
Неинтересно каждый день стоять на конвейере и клепать формочки.
Если тебе не интересен новый проект, то пора на пенсию).
OFF/2
А что? OpenSAML библиотека не подойдёт к НЕ шибболе?
В этой сфере всё очень запущено в энтерпрайзе.

...

Рейтинг:

0 / 0

07.10.2015, 22:16

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39071328

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

OFF
Да как сказать, мне вот, например, интересен проект моего нахождения на пляже со свежими симпатичными девушками (17-19ти летжелаетльно и с длинными русыми волосами ну и там что бы попка и все дела так сказать) как то больше))
/OFF
Ну тут дело не в опенсамл библиотеке, она то как раз поддержвает (скорее всего) стандарт, что нельзя сказать про все Idp.

...

Рейтинг:

0 / 0

07.10.2015, 22:26

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39071342

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
)) отдых после 6-ти само собой)
Я что то не заметил реализаций idP кроме этого Ш... в РФ.

...

Рейтинг:

0 / 0

07.10.2015, 22:46

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39071343

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
кстати, как там время зашивается?
Разница клиента и сервера 2 минуты. Если больше, то слой безопасности не пускает?
Т.е. второй запрос сохранённый в урл проходить не должен?
Совсем фигово для отладки.

...

Рейтинг:

0 / 0

07.10.2015, 22:50

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39071349

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

no56892,
можешь вызвать мой сервер и проверить ответку, если есть время?

...

Рейтинг:

0 / 0

07.10.2015, 23:04

| Ответить | Цитировать | Написать

Нужно SSO по протоколу SAML. Кто делал?

#39072014

no56892

Участник

Сообщения: 588

Рейтинг: 0 / 0

Дак мне тоже прийдет, что и тебе.

...

Рейтинг:

0 / 0

08.10.2015, 14:50

| Ответить | Цитировать | Написать

42 сообщений из 42, показаны все 2 страниц

все

Форумы / Java [игнор отключен] [закрыт для гостей] / Нужно SSO по протоколу SAML. Кто делал?

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?all=1&fid=59&tid=2124839]:	0ms
get settings:	7ms
get forum list:	23ms
check forum access:	4ms
check topic access:	4ms
track hit:	169ms
get topic data:	11ms
get forum data:	2ms
get page messages:	98ms
get tp. blocked users:	2ms
others:	203ms

total:	523ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы