SSO между веб-приложением в IBM WAS 7 и ADFS2.0

Question

SSO между веб-приложением в IBM WAS 7 и ADFS2.0

Я использовал плагин spring-security-saml2 для установки sso между веб-приложением tomcat и сервером ADFS. Я пытаюсь добиться того же в веб-приложении, развернутом в IBM Websphere Application Server 7.

Я создал собственное хранилище ключей в IBM WAS и использовал его для включения SSL в WAS. Персональный сертификат хранилища ключей используется в приложении securityContext.xml для подписи метаданных и сертификата подписавшего в импортированном на сервер ADFS. Сертификат сервера ADFS импортируется как сертификат подписавшего в хранилище ключей WAS. Я могу отправить запрос аутентификации на сервер ADFS, а также могу просмотреть ответ в журналах. Но получаю следующую ошибку при декодировании на экране.

Error 401: Authentication Failed: Error decoding incoming SAML message

И в логах:

29-09-2015 15:06:25,722 DEBUG org.opensaml.ws.message.decoder.BaseMessageDecoder:85 - Successfully decoded message.
29-09-2015 15:06:25,722 DEBUG org.opensaml.common.binding.decoding.BaseSAMLMessageDecoder:191 - Checking SAML message intended destination endpoint against receiver endpoint
29-09-2015 15:06:25,722 DEBUG org.opensaml.common.binding.decoding.BaseSAMLMessageDecoder:203 - SAML message intended destination endpoint in message was empty, not required by binding, skipping
29-09-2015 15:06:25,723 DEBUG org.springframework.security.saml.websso.WebSSOProfileImpl:109 - No inbound message in artifact response message.
29-09-2015 15:06:25,724 DEBUG org.springframework.security.saml.websso.WebSSOProfileImpl:122 - Could not decode artifact response message.
org.opensaml.ws.message.decoder.MessageDecodingException: No inbound message in artifact response message.
    at org.springframework.security.saml.websso.ArtifactResolutionProfileBase.resolveArtifact(ArtifactResolutionProfileBase.java:110)
    at org.opensaml.saml2.binding.decoding.HTTPArtifactDecoderImpl.doDecode(HTTPArtifactDecoderImpl.java:94)
    at org.opensaml.ws.message.decoder.BaseMessageDecoder.decode(BaseMessageDecoder.java:79)
    at org.opensaml.saml2.binding.decoding.BaseSAML2MessageDecoder.decode(BaseSAML2MessageDecoder.java:70)
    at org.springframework.security.saml.processor.SAMLProcessorImpl.retrieveMessage(SAMLProcessorImpl.java:105)
    at org.springframework.security.saml.processor.SAMLProcessorImpl.retrieveMessage(SAMLProcessorImpl.java:172)
    at org.springframework.security.saml.SAMLProcessingFilter.attemptAuthentication(SAMLProcessingFilter.java:77)
    at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:195)
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:192)
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:166)
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
    at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:87)
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
    at org.springframework.security.saml.metadata.MetadataGeneratorFilter.doFilter(MetadataGeneratorFilter.java:86)
    at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:192)
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:160)
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:346)
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:259)
    at com.ibm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter(FilterInstanceWrapper.java:190)
    at com.ibm.ws.webcontainer.filter.WebAppFilterChain.doFilter(WebAppFilterChain.java:125)

В логах сервера ADFS появляется следующая ошибка.

The artifact resolution request failed. 

Additional Data 
Exception message: 
MSIS3015: The signing certificate of the claims provider trust '+++++++++++++++++++++' identified by thumbprint '#################' is not valid. It might indicate that the certificate has been revoked, has expired, or that the certificate chain is not trusted.

Может кто-нибудь помочь мне в решении проблемы.

0

single-sign-on websphere-7 spring-saml adfs2.0

Источник

user1872030 29 сен '15 в 11:30

2 ответа

Решение

Вы должны сделать IBM WAS проверяющей стороной в ADFS. Когда мы реализуем эту настройку, претензии исход / доход будут основным источником загрузки профиля пользователя для аутентификации и передачи ответа SAML SP(конечный URL-адрес вашего приложения).

См. Ссылки ниже для настройки в качестве проверяющей стороны для ADFS.

https://omindu.wordpress.com/2015/06/19/setting-ad-fs-3-0-as-federated-authenticator-in-wso2-identity-server/

0

Источник

user3562778 30 сен '15 в 02:06

Другие вопросы по тегам single-sign-on websphere-7 spring-saml adfs2.0

user1872030 30 дек '15 в 09:37 2015-12-30 09:37 · Accepted Answer · 2015-12-30 09:37

Я использовал Websphere SAML TAI для установки единого входа с ADFS. Некоторые ссылки, на которые я ссылался, являются developerworks и techblog

0

Источник

user1872030 30 дек '15 в 09:37