bhagat/laravel-saml2

这是一个用于与多个身份提供者(IdP)集成的Laravel包,作为SP(服务提供商),基于OneLogin工具包,比simplesamlphp更轻量级。

维护者

详细信息

github.com/bhagatsingh70/bhagat-adfs

源代码

问题

安装: 12

依赖: 0

建议者: 0

安全: 0

星标: 0

关注者: 1

分支: 0

开放问题: 0

1.1.0 2024-08-26 13:58 UTC

Requires

Requires (Dev)

MIT 08825b134e52cdd32d84597da8984f5d3941e74e

  • bhagat-singh <bhagatsingh.singh602.woop@gmail.com>

laravelsamlSAML2oneloginadfsactive directory federation service

This package is auto-updated.

Last update: 2024-09-27 08:12:20 UTC

README

Build Status

这是一个基于OneLogin工具包的Laravel包,用于Saml2集成作为SP(服务提供商),比simplesamlphp SP更轻量且易于安装。它不需要单独的路由或会话存储即可工作!

该库的目的是尽可能简单。我们不会干扰Laravel用户、认证、会话等。我们更喜欢专注于具体任务。要求用户在IDP上进行身份验证并处理响应。SLO请求的情况也相同。

安装 - Composer

您可以通过composer安装此包

composer require bhagat/laravel-saml2

或手动将其添加到您的composer.json中

"bhagat/laravel-saml2": "*"

如果您使用的是Laravel 5.5及以上版本,服务提供程序将自动注册。

对于Laravel的旧版本(<5.5),您必须将服务提供程序添加到config/app.php中

'providers' => [
        ...
    	Bhagat\LaravelSaml2\Saml2ServiceProvider::class,
]

然后使用php artisan vendor:publish --provider="Bhagat\LaravelSaml2\Saml2ServiceProvider"发布配置文件。这将添加文件app/config/saml2_settings.phpapp/config/saml2/test_idp_settings.php,您需要对其进行自定义。

test_idp_settings.php配置几乎直接由OneLogin处理,因此您应该参考那里的完整细节,但我们将在这里介绍真正必要的部分。还有一些其他关于路由的配置,您可能需要检查,它们相当直接。

配置

定义IDP

在saml2_settings.php中定义您想配置的所有IDP的名称。如果您想使用simplesamlphp演示,可以选择性地将'test'作为第一个IDP,然后添加真实的IDP。IDP的名称将显示在这个库创建的Saml2路由的URL中,以及每个IDP配置的内部文件名。

    'idpNames' => ['test', 'myidp1', 'myidp2'],

配置laravel-saml2以了解每个IDP

您需要在app/config/saml2/文件夹下为每个IDP创建一个单独的配置文件。例如,myidp1_idp_settings.php。您可以使用test_idp_settings.php作为起点;只需复制并重命名它。

配置选项在此项目中没有详细说明,因为它们来自OneLogin项目,请参考那里的详细信息。

此配置与OneLogin使用的配置之间唯一的真正区别是,SP entityId、assertionConsumerService URL和singleLogoutService URL是由库注入的。如果您没有在相应的IDP配置的选项值中指定这些URL,此库提供默认值:为每个IDP创建的元数据、acs和sls路由。如果您在配置中指定了不同的值,请注意,acs和sls URL应与您设置的指向相应Saml2Controller函数的实际路由相对应。

如果您想选择性地在ENV变量中定义值而不是在*_idp_settings文件中,您会在其中看到可以遵循的命名模式。例如,如果在我ipd1_idp_settings.php中设置$this_idp_env_id = 'MYIDP1';,在myidp2_idp_settings.php中设置它为'SECONDIDP',那么您可以设置以SAML2_MYDP1_SAML2_SECONDIDP_开头的ENV变量,例如。

SAML2_MYIDP1_SP_x509="..."
SAML2_MYIDP1_SP_PRIVATEKEY="..."
// Other  SAML2_MYIDP1_* values

SAML2_SECONDIDP_SP_x509="..."
SAML2_SECONDIDP_SP_PRIVATEKEY="..."
// Other SAML2_SECONDIDP_* values

传递给IDP配置的URL

如上所述,您无需实现SP entityId、assertionConsumerService URL和singleLogoutService路由,因为Saml2Controller默认已经实现。但您需要了解这些路由,以便将其提供给实际IDP的配置,即您要求验证用户的第三方。

您可以通过访问“http(s)://laravel_url/myidp1/metadata”来检查实际的路由,这将是此SP的默认entityId。

如果您在saml2_settings.php中配置了可选的routesPrefix设置,则所有IDP路由都将以前缀值开头,因此您需要相应地调整元数据URL。例如,如果您将routesPrefix配置为'single_sign_on',则myidp1的IDP元数据将可在http://laravel_url/single_sign_on/myidp1/metadata找到。

示例:simplesamlphp IDP配置

如果您使用simplesamlphp作为测试IDP,并且您的SP元数据URL为http://laravel_url/myidp1/metadata,请将以下内容添加到/metadata/sp-remote.php中,以便告知IDP您的laravel-saml2 SP身份

$metadata['http://laravel_url/myidp1/metadata'] = array(
    'AssertionConsumerService' => 'http://laravel_url/myidp1/acs',
    'SingleLogoutService' => 'http://laravel_url/myidp1/sls',
    //the following two affect what the $Saml2user->getUserId() will return
    'NameIDFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent',
    'simplesaml.nameidattribute' => 'uid' 
);

用法

当您想让用户登录时,只需将用户重定向到特定IDP配置的登录路由route('saml2_login', 'myIdp1')。您还可以使用Saml2Auth::loadOneLoginAuthFromIpdConfig('myIdp1')函数实例化所需的IDP的Saml2Auth,以加载配置并构造OneLogin认证参数;只需记住,它不使用任何会话存储,所以如果您要求登录,它将重定向到IDP,无论用户是否已经登录。例如,您可以更改您的认证中间件。

public function handle($request, Closure $next)
{
    if ($this->auth->guest())
    {
        if ($request->ajax())
        {
            return response('Unauthorized.', 401); // Or, return a response that causes client side js to redirect to '/routesPrefix/myIdp1/login'
        }
        else
        {
            $saml2Auth = new Saml2Auth(Saml2Auth::loadOneLoginAuthFromIpdConfig('myIdp1'));
            return $saml2Auth->login(URL::full());
        }
    }

    return $next($request);
}

自Laravel 5.3以来,您可以在app/Exceptions/Handler.php中更改您的未认证方法。

protected function unauthenticated($request, AuthenticationException $exception)
{
    if ($request->expectsJson())
    {
        return response()->json(['error' => 'Unauthenticated.'], 401); // Or, return a response that causes client side js to redirect to '/routesPrefix/myIdp1/login'
    }

    $saml2Auth = new Saml2Auth(Saml2Auth::loadOneLoginAuthFromIpdConfig('myIdp1'));
    return $saml2Auth->login('/my/redirect/path');
}

对于通过重定向到登录路由('routesPrefix/myidp1/login')发送的登录请求,默认登录调用不会将重定向URL传递给Saml登录请求。该登录参数很有用,因为ACS处理器可以获取该值(从IDP作为RelayPath返回),并且默认情况下将重定向到那里。要从控制器登录传递重定向URL,扩展Saml2Controller类并实现自己的login()函数。将saml2_settings值saml2_controller设置为您的扩展类,以便路由将请求定向到您的控制器而不是默认控制器。
例如:
saml_settings.php

    'saml2_controller' => 'App\Http\Controllers\MyNamespace\MySaml2Controller'

MySaml2Controller.php

use Bhagat\LaravelSaml2\Http\Controllers\Saml2Controller;

class MySaml2Controller extends Saml2Controller
{
    public function login()
    {
        $loginRedirect = '...'; // Determine redirect URL
        $this->saml2Auth->login($loginRedirect);
    }
}

登录调用后,用户将被重定向到IDP登录页面。然后配置了端点的IDP将调用回,例如/myidp1/acs/routesPrefix/myidp1/acs。这将处理响应并在准备好时触发事件。您下一步要做的是处理该事件。您只需登录用户或拒绝。

 Event::listen('Bhagat\LaravelSaml2\Events\Saml2LoginEvent', function (Saml2LoginEvent $event) {
            $messageId = $event->getSaml2Auth()->getLastMessageId();
            // Add your own code preventing reuse of a $messageId to stop replay attacks

            $user = $event->getSaml2User();
            $userData = [
                'id' => $user->getUserId(),
                'attributes' => $user->getAttributes(),
                'assertion' => $user->getRawSamlAssertion()
            ];
             $laravelUser = //find user by ID or attribute
             //if it does not exist create it and go on  or show an error message
             Auth::login($laravelUser);
        });

认证持久性

请小心使用Session中认证持久性所需的Laravel中间件。

例如,它可以是

# in App\Http\Kernel
protected $middlewareGroups = [
        'web' => [
	    ...
	],
	'api' => [
            ...
        ],
        'saml' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
        ],

并在config/saml2_settings.php

    /**
     * which middleware group to use for the saml routes
     * Laravel 5.2 will need a group which includes StartSession
     */
    'routesMiddleware' => ['saml'],

注销

现在用户有两种注销方式。

  • 1 - 在您的应用程序中注销:在这种情况下,您“应该”首先通知IDP,以便它关闭全局会话。
  • 2 - 通过注销全局SSO会话。在这种情况下,如果IDP支持SLO,IDP将在/myidp1/slo端点(已提供)上通知您

对于情况1,通过将用户重定向到saml2_logout路由(route('saml2_logout', 'myidp1'))来启动注销。不要立即关闭会话,因为您需要从IDP接收响应确认(重定向)。该响应将由库在sls路由中处理,并触发一个Saml2LogoutEvent事件,您可以使用该事件以与下面情况2相同的方式完成注销。

对于情况2,您只会收到事件。两种情况1和2都收到相同的Saml2LogoutEvent事件。

注意,对于情况2,您可能需要手动保存会话以使注销生效(因为会话由中间件保存,但OneLogin库将在发生之前将您重定向回IDP)。

        Event::listen('Bhagat\LaravelSaml2\Events\Saml2LogoutEvent', function ($event) {
            Auth::logout();
            Session::save();
        });

就这些了。请随时提问、提交PR或建议,或打开问题。