跨校統(tǒng)一身份認證IDP和SP安裝開發(fā)指南V1.2.doc

跨校身份認證跨校身份認證 IDPIDP 和和 SPSP 安裝開發(fā)指南安裝開發(fā)指南 金智教育信息技術(shù)有限公司金智教育信息技術(shù)有限公司 20112011 年年 7 7 月月 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 1 目目 錄錄 1 架構(gòu)方案和系統(tǒng)組成架構(gòu)方案和系統(tǒng)組成 3 2 基礎技術(shù)平臺基礎技術(shù)平臺 SHIBBOLETH 3 2 1 SHIBBOLETH簡介 3 2 1 1 Shibboleth的組成 4 2 1 2 Shibboleth的特點 4 2 1 3 Shibboleth在本項目中的作用 5 2 2 系統(tǒng)組成 5 2 2 1 跨校身份認證中心 5 2 2 2 跨校身份認證組件 5 3 組件安裝組件安裝 6 3 1 IDP 安裝配置 6 3 1 1 Web容器配置 6 3 1 2 安裝IdP組件 7 3 1 3 IDP服務的啟停 8 3 1 4 配置認證方式 8 3 1 5 配置IdP認證支持的SP 11 3 1 6 IDP屬性獲取方式配置 11 3 1 7 IDP屬性安全配置 12 3 1 8 注冊IDP 14 3 2 SP 安裝配置指南 14 3 2 1 基礎組件安裝 14 3 2 2 配置Apache 15 3 2 3 配置SP保護路徑 16 3 2 4 配置此SP使用DS 17 3 2 5 配置此SP支持的IdP認證 必須 關(guān)鍵 17 3 2 6 配置SP需要的屬性 18 3 2 7 安裝完成 重啟shibd服務和httpd 19 3 2 8 注冊SP 19 3 2 9 反向代理集成應用 19 3 2 10 登出SP 19 4 開發(fā)接口開發(fā)接口 21 4 1 IDP SERVER身份認證接口 21 4 2 IDP SERVER屬性獲取接口 22 4 3 SP 屬性獲取接口 23 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 2 1 架構(gòu)方案和系統(tǒng)組成架構(gòu)方案和系統(tǒng)組成 下圖為跨校身份認證邏輯圖 上海教育城域網(wǎng) IdP SP 高校A IdP SP 高校B IdP SP 高校Z WAYF Discovery IdP SP 高校C IdP SP 高校D 2 基礎技術(shù)平臺基礎技術(shù)平臺 Shibboleth 2 1 Shibboleth 簡介簡介 Shibboleth 是 Intemet2 MACE 項目中的一個 得到了 IBM 的技術(shù)和資 金支持 Shibboleth 是一個使用標準語言描述的體系結(jié)構(gòu)和策略框架 支持 安全 Web 資源和服務的共享 Shibboleth 主要針對校園環(huán)境中對分布式資源訪問有效訪問問題 Shibboleth 與其它系統(tǒng)的區(qū)別在于 Shibboleth 將認證模塊放在用戶端 資源提 供者只需進行很少的驗證工作 這樣極大地減輕了資源提供者的負擔 同時 簡化了訪問程序 提高了訪問資源的效率 安全性也得到了保證 在系統(tǒng)擴 展方面 Shibboleth 采用了 SAML 規(guī)范 同時也在 SAML 上作了一些改進 這樣保證了系統(tǒng)的可擴展性 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 3 2 1 1 Shibboleth 的組成的組成 Shibboleth 主要由三個部分組成 1 Identity Provider 身份提供端 主要作用是向資源提供者提供用戶的屬性 以便使資源服 務器根據(jù)其屬性對其操作進行判決響應 2 Service Provider 資源 服務提供端 主要作用是響應用戶的資源請求 并向該用戶所在 的 IDP 查詢用戶的屬性 然后根據(jù)屬性作出允許或拒絕訪問資源的決策 3 WAYF Where Are You From 的首字母簡稱 WAYF 組件知道每一個 IDP 端句柄 服務器的名稱和位置 其主要功能是將 IDP 端站點名稱映射到 HS 信息上 WAYF 的另一個作用是為用戶查詢 HS 并將句柄發(fā)送給 SHIRE WAYF 通過 與用戶打交道 詢問 你從哪來 用戶選擇所屬組織 WAYF 便在用戶組 織的名稱與 HS 的 URL 之間進行映射 2 1 2 Shibboleth 的特點的特點 將 Shibboleth 系統(tǒng)與其他類似比較 Shibboleth 的特點主要表現(xiàn)在 1 極好的隱私保密性 在用戶訪問在資源的整個過程中 標識用戶 身份的是一個不透明的句柄 這樣除了 AA 和 HS 之外的任何實體都不能獲 得用戶的個人信息 2 使用基于標準的標記語言 SAML Shibboleth 訪問資源的方式和 SAML 規(guī)范很相似 在 Shibboleth 中 AQM ARM 等消息格式都是參照 SAML 規(guī)范指定的 3 充分解決了單點登錄 Single Sign On sso 問題 SAML 規(guī)范主 要是針對 SSO 問題 而 Shibboleth 參照了 SAML 規(guī)范 極好地解決了 SSO 問題 4 用戶訪問資源是一種 Pull 模式 用戶訪問資源時 并不是一次將 所有的信息全部暴露出來 而是在需要的時候部分暴露 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 4 2 1 3 Shibboleth 在本項目中的作用在本項目中的作用 1 本項目將基于 Shibboleth 的框架進行開發(fā) 根據(jù)用戶的實際需求 對 Shibboleth 進行改造 2 Shibboleth 構(gòu)成跨域統(tǒng)一身份認證系統(tǒng)的核心部分 包括 IdP SP 和 WAYF 組成的整個跨域統(tǒng)一身份認證系統(tǒng)的架構(gòu) 3 通過將 Shibboleth 的 IdP 組件與各個學校的統(tǒng)一身份認證系統(tǒng)集 成 將身份數(shù)據(jù)的管理和身份憑據(jù)的認證交給各個學校自身的統(tǒng)一身份認證 系統(tǒng) 跨域認證中心只是作為跨域認證的索引 并不維護任何身份數(shù)據(jù) 2 2 系統(tǒng)組成系統(tǒng)組成 2 2 1 跨校身份認證中心跨校身份認證中心 組件名稱主要功能實現(xiàn)方式 WAYF 服務1 轉(zhuǎn)發(fā)用戶請求給相應的 IdP 認證 2 接受 IdP 注冊 存儲所有 IdP 的信息 3 提供一個簡單 Web 訪問界面 供用戶選擇其能夠認 證的 IdP 4 接受 SP 注冊 存儲所有 SP 的信息 改造 Shibboleth 組件 2 2 2 跨校身份認證組件跨校身份認證組件 組件名稱主要功能實現(xiàn)方式 IdP 身份提供 者 1 存儲用戶的身份信息 2 為 SP 提供用戶身份認證服務 3 為 SP 提供用戶屬性數(shù)據(jù) 4 為整個訪問過程初始化 SSO 服務 5 提供和其他身份認證系統(tǒng)的統(tǒng)一集成接口 基于 Shibboleth 組件 作相應擴展 SP 服務提供 者 1 為用戶提供受控資源訪問的入口 2 判斷來訪用戶是否已經(jīng)認證 3 根據(jù)用戶屬性確定其對受控資源的訪問權(quán)限 基于 Shibboleth 組件 作相應擴展 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 5 3 組件安裝組件安裝 本章節(jié)描述 IDP 和 SP 的安裝配置 系統(tǒng)環(huán)境要求 軟件版本備注 操作系統(tǒng)Linux RedHat ES 5 1 JDKSun JDK 1 5必須是 1 5 以上 J2EE Web 容器Apache Tomcat 5 5 26 Web ServerApache 2 2需要支持 mod ssl mod proxy aj p 安裝前請注意 1 系統(tǒng)時間必須設置正確 2 apache httpd 需要 mod ssl mod proxy ajp 假設安裝在 etc httpd 3 必須使用 tomcat 5 5 x 假設安裝在 opt apache tomcat 5 5 26 4 如果需要改變安裝目錄重新安裝 必須退到解壓那步 否則很多和目 錄有關(guān)的代碼不會重新編譯 導致嚴重錯誤 5 配置文件很多 要有耐心 3 1 IDP 安裝配置安裝配置 3 1 1 Web 容器配置容器配置 J2EE Web 容器使用 Tomcat 版本必須為 tomcat 5 5 x 假設安裝在 opt apache tomcat 5 5 26 Web 前端采用 Apache 2 2 假設配置文件安裝在 etc httpd 配置步驟 1 取消 tomcat 的 AJP 身份認證 vi opt apache tomcat 5 5 26 conf server xml 找到 Define an AJP 1 3 Connector 那 初始為 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 6 修改為 這里端口修改只是為了不沖突 2 apache httpd 配置 AJP 反向代理 vi etc httpd conf d proxy ajp conf 添加 LoadModule proxy ajp module modules mod proxy ajp so ProxyPass idp ajp localhost 8019 idp 3 1 2 安裝安裝 IdP 組件組件 1 初始化 IDP unzip q shibboleth idp 2 0 0 bin zip cd identityprovider cp endorsed jar opt apache tomcat 5 5 26 common endorsed sh ant sh install 提示是否新安裝 yes 提示選擇安裝目錄 opt idp 提示 hostname 根據(jù)實際填寫 舉例為 提示加密密匙 隨便寫 2 部署 war 解壓 idp war 到 Tomcat 下面的 webapps idp 目錄即可 3 測試 應該能看到 ok httpd k restart links http 127 0 0 1 idp profile Status 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 7 3 1 3 IDP 服務的啟停服務的啟停 目前已經(jīng)安裝好的各校 IDP 服務的啟動命令如下 1 啟動 cd opt apache tomcat 5 5 26 bin startup sh cd opt lampp apacherestart sh 2 停止 cd opt apache tomcat 5 5 26 bin shutdown sh force cd opt lamp lamp stopapache 3 1 4 配置認證方式配置認證方式 IDP 支持標準的 JAAS 認證方式 也支持自定義接口的方式 下面介紹基 于 LDAP 的 JAAS 認證方式和金智 IDStar 統(tǒng)一身份認證方式的配置 在開發(fā) 章節(jié)將會詳細介紹和其他認證系統(tǒng)的集成開發(fā) 3 1 4 1 LDAP 認證方式配置認證方式配置 1 配置 IDP 登錄處理 vi opt idp conf handler xml 啟用 UsernamePassword 方式 修改為 urn oasis names tc SAML 2 0 ac classes unspecified urn oasis names tc SAML 2 0 ac classes PasswordProtect edTransport 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 8 屏蔽其他認證方式 其他 LoginHander 段 注 必須保留 PreviousSession LoginHander 段的配置 2 配置 LDAP 的 JAAS 認證 vi opt idp conf login config ShibUserPassAuth edu vt middleware ldap jaas LdapLoginModule required host 172 18 33 235 base dc wiscom dc com dc cn serviceUser cn Directory Manager serviceCredential userField uid subtreeSearch true 屬性說明 屬性說明備注 HostLDAP 服務器地址IP 域名均可 BaseLDAP Base 名稱 serviceUserLDAP 登錄用戶此用戶需要有 LDAP 的 訪問權(quán)限 serviceCredential密碼 userField用戶 ID 的 LDAP 字段名 subtreeSearch是否搜索 LDAP 子節(jié)點默認為 True 3 1 4 2 金智金智 IDStar 認證方式配置認證方式配置 1 配置 IDP 登錄處理 vi opt idp conf handler xml 啟用 Generic 方式 修改為 urn oasis names tc SAML 2 0 ac classes unspecified 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 9 urn oasis names tc SAML 2 0 ac classes PasswordProtect edTransport 屏蔽其他認證方式 其他 LoginHander 段 注 必須保留 PreviousSession LoginHander 段的配置 2 配置 IDStar 認證支持 vi opt idp conf internal xml 加入以下配置 注 這是個標準的 spring 配置文件 配置方法參考 Spring 幫助 3 配置 IDStar 認證接口 vi opt wiscom config shibboleth config client properties 按 IDStar 的配置說明進行配置 4 配置 IDP Web 登錄處理 編輯 IDP war 安裝目錄下面的 web xml 配置 GenericAuthHandler 的 Servlet 參數(shù) authenticationProvider 把值設置為 wiscom idstarAuthenticationProvider 即認證處理采用 wiscom 自定 義的認證處理方式 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 10 3 1 5 配置配置 IdP 認證支持的認證支持的 SP 如果 SP 需要 IDP 的認證支持 IDP 必須配置他能提供認證服務的 SP 信 息 vi opt idp conf relying party xml 找到 MetadataProvider 那 注意修改各個 MetadataProvider 的 id backingFile 假設某通過 apache 模塊工作的 SP 位于 http sp host 注 WAYF 服務提供了所有加入跨校身份認證的 IDP 和 SP 的 Metadata 信息 地址為 metadataURL 可以設置為 IDP 就支持 所有加入跨校認證的 SP 3 1 6 IDP 屬性獲取方式配置屬性獲取方式配置 IDP 的屬性獲取方式支持 LDAP 數(shù)據(jù)庫等 也支持自定義方式 下面介 紹 LDAP 方式和自定義的 IDStar 認證系統(tǒng)方式 自定義方式的程序開發(fā)在接口開發(fā)章節(jié)詳細介紹 3 1 6 1 LDAP 屬性獲取方式配置屬性獲取方式配置 vi opt idp conf attribute resolver xml 找到 取消注釋 配置 LDAP 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 11 3 1 6 2 IDStar 用戶屬性獲取方式配置用戶屬性獲取方式配置 1 配置 IDP 屬性獲取參數(shù) 編輯 opt idp conf attribute resolver xml 注釋掉其他的 resolver DataConnector 項 加入 2 配置 IDStar 屬性獲取服務 編輯 opt idp conf 加入下面的內(nèi)容 3 1 7 IDP 屬性安全配置屬性安全配置 IDP 可以配置自身提供屬性的訪問策略 可以配置指定的 SP 所能訪問 到的屬性項目 下面說明全局屬性配置和指定 SP 屬性配置 屬性安全配置文件 opt idp conf attribute filter xml 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 12 3 1 7 1 全局屬性配置全局屬性配置 全局屬性配置是指 對于配置為全局的屬性項 所有加入跨校身份認證 的 SP 都能訪問到 編輯 opt idp conf attribute filter xml 添加策略 以上的配置項目表示對于屬性 domainName inetUserStatus typeOf eduExtend 所有加入身份聯(lián)盟的 SP 都可以訪問 3 1 7 2 指定指定 SP 屬性訪問配置屬性訪問配置 指定屬性配置是指 對單獨的 SP 可以指定對 IDP 所提供的那些屬性項 可以訪問 編輯 opt idp conf attribute filter xml 添加策略 以上配置表示 對 SP shec wayf sp test 在 IDP 的 Metadata 中定 義 可以訪問 cn uid mail sn 四個屬性項目 3 1 8 注冊注冊 IDP IDP 安裝成功以后 會自動生成 Metadata 文件 opt idp metadata idp metadata xml 注冊到跨校認證 需要將此文件發(fā)送給 WAYF 注冊 請把此文件提交給 WAYF 管理員 3 2 SP 安裝配置指南安裝配置指南 安裝的操作系統(tǒng)版本 Linux redhat e5 使用 apache 模塊方式安裝使用 SP 3 2 1 基礎組件安裝基礎組件安裝 安裝 SP 需要的基本組件 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 14 1 下載組件 curl O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 log4shib 1 0 1 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 xerces c 2 8 0 1 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 xml security c 1 4 0 1 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 xmltooling 1 0 6 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 opensaml 2 0 6 i386 rpm O http shibboleth internet2 edu downloads shibboleth cppsp 2 0 RPMS i386 RHE 5 shibboleth 2 0 6 i386 rpm 2 安裝組件 rpm ivh log4shib 1 0 1 i386 rpm rpm ivh xerces c 2 8 0 1 i386 rpm rpm ivh xml security c 1 4 0 1 i386 rpm rpm ivh xmltooling 1 0 6 i386 rpm rpm ivh opensaml 2 0 6 i386 rpm rpm ivh shibboleth 2 0 6 i386 rpm 3 2 2 配置配置 Apache 修改 httpd 配置 vi etc httpd conf httpd conf 1 ServerName 必須設置 假設為 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 15 2 UseCanonicalName 改為 On 3 添加 mod shib 如果是 rpm 自動安裝方式 已經(jīng)有 etc httpd conf d shib conf LoadModule mod shib usr lib shibboleth mod shib 22 so Allow from all Alias shibboleth sp main css usr share doc shibboleth main css Alias shibboleth sp logo jpg usr share doc shibboleth logo jpg 4 配置受保護 需要認證 路徑 AuthType shibboleth ShibRequireSession On require valid user 3 2 3 配置配置 SP 保護路徑保護路徑 經(jīng)測試 這里設置的并不保險 最好還是設置在 httpd conf 里 vi etc shibboleth shibboleth2 xml 找到 后面的 Host name 跟 httpd 的 ServerName 一致 需認證的路徑配置舉例如下 更多設置參數(shù)見 http spaces internet2 edu display SHIB2 NativeSPProtectContent 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 16 3 2 4 配置此配置此 SP 使用使用 DS 加入支持的 WAYF 服務器 vi etc shibboleth shibboleth2 xml 找到 SessionInitiator 去掉 Location Login 項里的 isDefault true 改成 Location DS 項里的 isDefault true acsByIndex false 后一個是因為 SP 的 bug 并改 URL 地址 DS 地址 如下 3 2 5 配置此配置此 SP 支持的支持的 IdP 認證 必須 關(guān)鍵 認證 必須 關(guān)鍵 vi etc shibboleth shibboleth2 xml 在 內(nèi)添加 IdP 的 Metadata 如 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 17 注 其中的 uri 可配置為 SP 就支持所有加入跨校認證的 IDP 服務 3 2 6 配置配置 SP 需要的屬性需要的屬性 SP 能否獲得自己需要的用戶屬性 最終還是由 IDP 來控制 這些屬性最終以環(huán)境變量的形式提供給 SP vi etc shibboleth attribute map xml 命名 name 和 id 要和 IdP 的 attribute resolver xml 對應 urn mace dir 是 SAML1String urn oid 是 SAML2String 如 上面的配置表示 SP 需要屬性項 uid cn sn domainName mail inetUserStatus typeOf endextend 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 18 3 2 7 安裝完成 重啟安裝完成 重啟 shibd 服務和服務和 httpd 修改過以上配置文件后 必須重新啟動 shibd 服務和 httpd 服務 httpd k restart service shibd start 3 2 8 注冊注冊 SP SP 安裝成功以后 會自動生成 Metadata 文件 通過 URL http sp host Shibboleth sso Metadata 訪問 注冊到跨校認證 需要將此文件發(fā)送給 WAYF 注冊 請把此文件提交給 WAYF 管理員 3 2 9 反向代理集成應用反向代理集成應用 可以通過反向代理集成其他應用 在 httpd conf 中設置 AuthType shibboleth ShibRequireSession On ShibUseHeaders On require valid user ProxyPass http app1 8080 meta 以上配置表示對于目錄 meta 的所有訪問需要登錄 用戶登錄成功后由 apache 反向代理到 app1 的 8080 端口 web 服務 該服務可以通過 http 的請 求頭讀取用戶的屬性 3 2 10 登出登出 SP 用戶登錄后可以使用鏈接 http sp host Shibboleth sso Logout 登出該 SP 系統(tǒng) 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 20 跨校身份認證 IDP 和 SP 安裝開發(fā)指南 版權(quán)所有 C 江蘇金智教育信息技術(shù)有限公司 保留所有權(quán)利 21 4 開發(fā)接口開發(fā)接口 Shibboleth 本身對于認證和屬性獲取提供的接口有限 為了能更為方面 的和第三方身份認證系統(tǒng)集成 金智對 Shibboleth 做了相應的擴展 提供 兩個簡單的接口來完成身份認證和屬性獲取的自定義支持 兩個接口都是做為 IDP 的擴展組件 4 1 IDP Server 身份認證接口身份認證接口 提供用戶校驗服務 實現(xiàn)以下接口即可 package com wiscom shibboleth idp authn provider import javax servlet http HttpServletRequest import javax servlet http HttpServletResponse public interface IAuthenticationProvider public String check HttpServletRequest request HttpServletResponse response pub