haught / laravel-saml2
一个基于OneLogin工具集的Laravel包,用于将Saml2集成作为多个IDP的服务提供者(SP),比simplesamlphp更轻量。
Requires
- php: >=8.0
- ext-openssl: *
- laravel/framework: >=8.0.0
- onelogin/php-saml: >=4.1
Requires (Dev)
- mockery/mockery: ~1.5
- phpunit/phpunit: ~9
README
这是aacotroneo/laravel-saml2的分支。
一个基于OneLogin工具集的Laravel包,用于Saml2集成作为SP(服务提供者),比simplesamlphp SP更轻量且易于安装。它不需要单独的路由或会话存储即可工作!
该库的目标是尽可能简单。我们不会干预Laravel用户、认证、会话...我们更喜欢专注于具体任务。请用户在IDP处进行身份验证并处理响应。SLO(单点登出)请求也是同样的情况。
安装 - Composer
您可以通过Composer安装此包
composer require haught/laravel-saml2
或者手动将其添加到您的composer.json中
composer.json
"haught/laravel-saml2": "*"
服务提供者将自动注册。
然后使用以下命令发布配置文件:php artisan vendor:publish --provider="Haught\Saml2\Saml2ServiceProvider"。这将添加文件app/config/saml2_settings.php & app/config/saml2/mytestidp1_idp_settings.php,您需要对其进行自定义。
mytestidp1_idp_settings.php配置几乎直接由OneLogin处理,因此您应参考那里以获取完整详细信息,但我们将在这里介绍真正必要的内容。还有一些关于路由的配置您可能需要检查,它们相当直接。
配置
定义IDP
在saml2_settings.php中定义您要配置的所有IDP的名称。如果想要使用simplesamlphp演示,可以选择性地保留mytestidp1(区分大小写)作为第一个IDP,之后添加真实的IDP。IDP的名称将显示在库创建的Saml2路由的URL中,以及每个IDP配置的内部文件名。
config/saml2_settings.php
'idpNames' => ['mytestidp1', 'test', 'myidp2'],
配置laravel-saml2以了解每个IDP
您需要在app/config/saml2/文件夹下为每个IDP创建一个单独的配置文件。例如:test_idp_settings.php。您可以使用mytestidp1_idp_settings.php作为起点;只需复制并重命名即可。
此项目未解释配置选项,因为它们来自OneLogin项目,请参阅那里以获取详细信息。
此配置与OneLogin使用的配置之间唯一的真正区别是,SP的entityId、assertionConsumerService URL和singleLogoutService URL是由库注入的。
如果您未在相应的IDP配置的可选值中指定URL,此库将提供默认值。库为每个IDP创建metadata、acs和sls路由。如果您在配置中指定了不同的值,请注意,acs和sls URL应对应于您设置的指向相应Saml2Controller函数的实际路由。
如果您想选择性地在ENV变量中定义值而不是在{idpName}_idp_settings文件中,您会在其中看到ENV值的命名模式。例如,如果在mytestipd1_idp_settings.php中设置$this_idp_env_id = 'mytestidp1';,然后在myidp2_idp_settings.php中设置$this_idp_env_id = 'myidp2',那么您可以为分别设置以SAML2_mytestidp1_和SAML2_myidp2_开头的ENV变量。
例如,它可以是这样
.env
SAML2_mytestidp1_SP_x509="..." SAML2_mytestidp1_SP_PRIVATEKEY="..." // Other SAML2_mytestidp1_* values SAML2_myidp2_SP_x509="..." SAML2_myidp2_SP_PRIVATEKEY="..." // Other SAML2_myidp2_* values
传递给IDP配置的URL
如上所述,您不需要实现SP的entityId、assertionConsumerService URL和singleLogoutService URL路由,因为Saml2Controller默认已经实现了。但您需要了解这些路由,以便将它们提供给您实际的IDP配置,即您请求认证用户的第三方。
您可以通过访问http(s)://{laravel_url}/{idpName}/metadata来检查实际的路线,例如http(s)://{laravel_url}/mytestidp1/metadata,这意外地将成为此SP的默认entityId。
如果您在saml2_settings.php中配置了可选的routesPrefix设置,那么所有IDP路由都将以前面的值作为前缀,因此您需要相应地调整元数据URL。例如,如果您将routesPrefix配置为'single_sign_on',那么您的mytestidp1IDP元数据将位于http(s)://{laravel_url}/single_sign_on/mytestidp1/metadata。
库为每个IDP自动创建的路由是
{routesPrefix}/{idpName}/logout{routesPrefix}/{idpName}/login{routesPrefix}/{idpName}/metadata{routesPrefix}/{idpName}/acs{routesPrefix}/{idpName}/sls
示例:simplesamlphp IDP配置
如果您使用simplesamlphp作为测试IDP,并且您的SP元数据URL是http(s)://{laravel_url}/mytestidp1/metadata,请在/metadata/sp-remote.php中添加以下内容,以通知IDP您的laravel-saml2 SP身份。
例如,它可以是这样
/metadata/sp-remote.php
$metadata['http(s)://{laravel_url}/mytestidp1/metadata'] = array( 'AssertionConsumerService' => 'http(s)://{laravel_url}/mytestidp1/acs', 'SingleLogoutService' => 'http(s)://{laravel_url}/mytestidp1/sls', //the following two affect what the $Saml2user->getUserId() will return 'NameIDFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent', 'simplesaml.nameidattribute' => 'uid' );
用法
当您想要用户登录时,只需将用户重定向到特定IDP配置的登录路由route('saml2_login', 'mytestidp1')。您还可以使用Saml2Auth::loadOneLoginAuthFromIpdConfig('mytestidp1')函数实例化所需的IDP的Saml2Auth,以加载配置并构建OneLogin认证参数;只是记住它不使用任何会话存储,因此如果要求它登录,它将重定向到IDP,无论用户是否已经登录。例如,您可以将认证中间件更改为以下内容。
例如,它可以是这样
App/Http/Middleware/RedirectIfAuthenticated.php
public function handle($request, Closure $next) { if ($this->auth->guest()) { if ($request->ajax()) { return response('Unauthorized.', 401); // Or, return a response that causes client side js to redirect to '/routesPrefix/myIdp1/login' } else { $saml2Auth = new Saml2Auth(Saml2Auth::loadOneLoginAuthFromIpdConfig('mytestidp1')); return $saml2Auth->login(URL::full()); } } return $next($request); }
从Laravel 5.3开始,您可以更改您的未认证方法。
例如,它可以是这样
App/Exceptions/Handler.php
protected function unauthenticated($request, AuthenticationException $exception) { if ($request->expectsJson()) { return response()->json(['error' => 'Unauthenticated.'], 401); // Or, return a response that causes client side js to redirect to '/routesPrefix/myIdp1/login' } $saml2Auth = new Saml2Auth(Saml2Auth::loadOneLoginAuthFromIpdConfig('mytestidp1')); return $saml2Auth->login('/my/redirect/path'); }
对于通过重定向到登录路由{routesPrefix}/mytestidp1/login传入的登录请求,默认的登录调用不会将重定向URL传递给Saml登录请求。这个登录参数很有用,因为ACS处理程序可以获取这个值(从IDP作为RelayPath返回),默认情况下会重定向到那里。要从控制器登录传递重定向URL,扩展Saml2Controller类并实现自己的login()函数。将config/saml2_settings.php中的值saml2_controller设置为您的扩展类,以便路由将请求定向到您的控制器而不是默认控制器。
例如,它可以是这样
config/saml_settings.php
'saml2_controller' => 'App\Http\Controllers\MyNamespace\MySaml2Controller'
App/Http/Controllers/MyNamespace/MySaml2Controller.php
use Haught\Saml2\Http\Controllers\Saml2Controller; class MySaml2Controller extends Saml2Controller { public function login() { $loginRedirect = '...'; // Determine redirect URL $this->saml2Auth->login($loginRedirect); } }
登录调用后,用户将被重定向到IDP登录页面。然后配置了端点的IDP将调用回,例如/mytestidp1/acs或/{routesPrefix}/mytestidp1/acs。这将处理响应并在准备好时触发事件。下一步是处理该事件。您只需登录用户或拒绝即可。
例如,它可以是这样
App/Providers/MyEventServiceProvider.php
Event::listen('Haught\Saml2\Events\Saml2LoginEvent', function (Saml2LoginEvent $event) { $messageId = $event->getSaml2Auth()->getLastMessageId(); // Add your own code preventing reuse of a $messageId to stop replay attacks $user = $event->getSaml2User(); $userData = [ 'id' => $user->getUserId(), 'attributes' => $user->getAttributes(), 'assertion' => $user->getRawSamlAssertion() ]; $laravelUser = //find user by ID or attribute //if it does not exist create it and go on or show an error message Auth::login($laravelUser); });
认证持久性
注意Laravel中间件在会话中的认证持久性。
例如,它可以是这样
App/Http/Kernel.php
protected $middlewareGroups = [ 'web' => [ ... ], 'api' => [ ... ], 'saml' => [ \App\Http\Middleware\EncryptCookies::class, \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class, \Illuminate\Session\Middleware\StartSession::class, ],
config/saml2_settings.php
/**
* which middleware group to use for the saml routes
* Laravel 5.2 will need a group which includes StartSession
*/
'routesMiddleware' => ['saml'],
登出
现在用户有两种登出方式。
- 1 - 在您的应用程序中登出:在这种情况下,您应该先通知身份提供者(IDP),以便关闭全局会话。
- 2 - 通过登出全局SSO会话。在这种情况下,如果IDP支持SLO,它将在
/mytestidp1/slo端点通知您(已提供)。
对于情况1,调用Saml2Auth::logout();或将用户重定向到登出路由,例如mytestidp1_logout,它执行此操作。不要立即关闭会话,因为您需要从IDP收到响应确认(重定向)。该响应将在库的/mytestidp1/sls处处理,并触发一个事件供您完成操作。
对于情况2,您将只收到事件。情况和2都收到相同的事件。
请注意,对于情况2,您可能需要手动保存会话以使登出生效(因为会话由中间件保存,但OneLogin库将在发生之前将您重定向回IDP)。
例如,它可以是这样
App/Providers/MyEventServiceProvider.php
Event::listen('Haught\Saml2\Events\Saml2LogoutEvent', function ($event) { Auth::logout(); Session::save(); });
这就结束了。请随时提问,提出PR或建议,或打开问题。