Me gustaría implementar un inicio de sesión Único (SSO) capa de autenticación en mi Primavera basado en la aplicación con el objetivo de apoyar a la autenticación y autorización de los diferentes dominios de seguridad.
He elegido Shibboleth como Desplazados internos, pero no he llegado a identificar lo voy a utilizar para la SP.

Las opciones son:

  • Primavera Seguridad SAML Extensión: componente permite que tanto las aplicaciones nuevas y existentes para actuar como Proveedor de Servicios en federaciones basado en SAML 2.0 protocolo y habilitar Web de inicio De sesión Único. Resorte de Extensión de Seguridad permite una combinación de SAML 2.0 y otros de autenticación y de la federación de mecanismos en una sola aplicación. Todos los productos de apoyo de SAML 2.0 en el Proveedor de Identidad modo (por ejemplo, ADFS 2.0, Shibboleth, OpenAM/OpenSSO, RM5 IdM o Ping Federar) puede ser utilizado para conectar con Spring Security SAML Extensión.

  • Shibboleth (también como SP): Shibboleth es una tecnología basada en la web que implementa el HTTP/POST, artefacto, y el atributo de empuje perfiles de SAML, incluyendo tanto el Proveedor de Identidad (IdP) y el Proveedor de Servicios (SP) de los componentes.

Así pues, tengo algunas preguntas:

  1. Es una buena idea para usar directamente de la Primavera SAML como SP en términos de
    escalabilidad y mantenibilidad?
  2. Es posible utilizar una externa SP junto con Spring Security? Cómo debo configurar mi aplicación y/o mi servidor de aplicaciones (JBoss 8.0 – WildFly)?
  3. ¿Dónde puedo definir las funciones (para cada caso)?
  4. Que es la opción que vale la pena?

Saludos, V.

InformationsquelleAutor vdenotaris | 2014-04-07

1 Comentario

  1. 46

    La principal diferencia entre los dos es escenario de implementación:

    • Shibboleth SP plugins que se implementan directamente en el Apache/IIS web server.
    • Primavera SAML está integrado en su aplicación.

    Ambas tienen pros y contras.


    1. Es una buena idea para usar directamente de la Primavera SAML como SP en términos de escalabilidad y mantenibilidad?

    Primavera SAML

    • Ofrece un gran control sobre cómo se realiza la autenticación y cómo el proceso de autenticación interactúa con la aplicación. Por ejemplo, es posible crear su propia configuración de las interfaces de usuario y agregar dinámicamente los Desplazados internos, crear pantallas de inicio de sesión personalizado como parte de su aplicación, que han de tener y fácil control sobre el manejo de errores, soporte fácilmente a varios de los Desplazados internos, configurados de forma dinámica los detalles de la SSO (solicitado AuthnContexts, NameIDs, enlaces, forzar la autenticación).
    • Analizar con facilidad recibido de SAML atributos en varios formatos, soporta múltiples métodos de autenticación en la misma aplicación.
    • Generar dinámicamente SP metadatos, se ofrece un número limitado de multi-tenancy y admite los perfiles no están disponibles en todas las otras opciones (por ejemplo, cierre de sesión Único, Titular de la Clave, IDP Descubrimiento).
    • A la perfección interactúa con Spring Security, que aporta una serie de beneficios de su propia. Con la Primavera SAML también puede configurar completa de autenticación y autorización directamente a la política en su aplicación (por ejemplo, páginas que requieren autenticación o no y cuando, según la función de control de acceso a los contenidos, la autenticación step-up en condiciones dinámicas, …).
    • Permite implementar la aplicación en cualquier servidor de aplicaciones o contenedor y detrás de cualquier proxy inverso o de un servidor web sin afectar a la funcionalidad.

    Shibboleth plugins

    • Estos están configurados estáticamente y suelen interactuar con la aplicación a través de los encabezados HTTP. Que desacoplar la lógica de autenticación de la aplicación en sí, así que la única cosa que usted necesita tomar el cuidado de la aceptación de las cabeceras y la inicialización de la aplicación de la sesión con el contexto de seguridad correcta. La definición de qué páginas están protegidos está presente en el IIS/Apache servidor y basadas en los patrones de URL que significa que la autenticación y la autorización de la política es en parte definida fuera de su aplicación.
    • Usted necesita para asegurarse de que la aplicación sólo se puede acceder a través del servidor web (= prohibir todo acceso directo), ya que podría permitir el establecimiento de los encabezados.
    • No requiere de muchos cambios a la aplicación en sí y puede por lo tanto, suelen ser fácilmente utilizado con sistemas heredados.

    1. Es posible utilizar una externa SP junto con Spring Security? Cómo debo configurar mi aplicación y/o mi servidor de aplicaciones
      (JBoss 8.0 – WildFly)?

    Sí, es posible, pero requiere esfuerzo. Por ejemplo, podría configurar WildFly para establecer un dominio compartido de la galleta en formato cifrado y verificar la cookie en su Primavera de configuración de Seguridad.


    1. ¿Dónde puedo definir las funciones (para cada caso)?

    Con la Primavera SAML definir roles, cuando el procesamiento de la Respuesta SAML, por ejemplo, mediante el análisis de SAML atributos. Esto se hace mediante la aplicación de SAMLUserDetailsService de la interfaz y de conectar a la samlAuthenticationProvider.

    Con Shibboleth puede reenviar los atributos recibidos de los DESPLAZADOS internos a su aplicación con los encabezados y las analiza en su aplicación.

    WildFly (probablemente) le permite definir el contexto de seguridad y funciones directamente en el SP sin necesidad de configurar esto en su aplicación. Tal configuración puede no ser portable a través de los servidores de aplicaciones.


    1. Que es la opción que vale la pena?

    Todas las opciones le permiten realizar WebSSO con SAML 2.0. La gente suele elegir en base a sus necesidades (por ejemplo, la personalización de las necesidades), medio ambiente (utilizado servidor web, servidor de aplicaciones), ha preferido la metodología de desarrollo (Java, .NET, otros), que se utiliza marcos, código de la herencia. Tanto la Primavera de SAML y Shibboleth plugins son utilizados por muchos clientes.

    • Excelente, bien equilibrado respuesta.

Dejar respuesta

Please enter your comment!
Please enter your name here