我试图弄清楚(如果可能的话)如何将 JBoss GateIn Portal 应用程序与 PicketLink-STS 集成以生成可用于实现“单点登录”的安全令牌(即 SAML 断言)(因此与背面交谈需要身份验证的 EJB 服务)。
关于如何使用 EJB 服务配置 JBoss 5.1 并使用安全令牌进行身份验证的 PicketLink-STS 保护它们(通过安全域和登录配置模块实现)有很好的文档。
但是,尚不清楚如何让 JBoss 5.1/GateIn 门户应用程序与 PicketLink-STS 集成,以便 portlet 可以获得安全令牌(用于登录用户),然后可以将其传递给后端 EJB 服务,这些服务是针对 PicketLink-STS 进行验证以进行身份验证?
想知道这是可能的还是一条死胡同。
我不是 GateIn 方面的专家,但是,经过一些研究,我会展示我的结果。
首先我基于GateIn 的 3.4 版本是 JBoss 5 的最后一个版本。
要配置基于SAML令牌的 Gatein 身份验证,必须启用 SSO 身份验证,GateIn 与 SAML2 的集成使用 JBoss 项目Picketlink Federation。
SAML SSO 身份验证基于SP和IDP之间的信任圈。这可以通过以下链接中描述的步骤来完成:第 6 章。身份验证和身份 - SAML
所需资源可从以下网址下载:
STS配置是身份提供者的一部分,可以按照以下文档中的说明进行编辑:SecurityToken 服务配置(PicketLinkSTS 元素)
在完成启用基于身份验证的SAML令牌的所有步骤后(正常工作),您必须将以下过滤器添加到 GateIn(如SAML2LogoutFilter):
<filter>
<filter-name>PicketlinkSTSIntegrationFilter</filter-name>
<filter-class>org.gatein.sso.agent.filter.PicketlinkSTSIntegrationFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>PicketlinkSTSIntegrationFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
此过滤器设置org.picketlink.identity.federation.core.wstrust.SamlCredential为org.jboss.security.client.SecurityClient,它允许将身份验证从SAML2 票证传播到底层EJB或WS 调用。
也可以看看:
我希望这会有所帮助。