将JBoss GateIn门户与PicketLink-STS (SAML)集成

Question

我正在尝试(如果可能的话)弄清楚如何将SAML门户应用程序与PicketLink-STS集成，以生成可用于实现“单点登录”的安全令牌(即JBoss断言)(从而与需要身份验证的后台GateIn服务对话)。

关于如何使用JBoss服务配置EJB5.1并使用PicketLink-STS保护它们以使用安全令牌进行身份验证(通过安全域和登录配置模块实现)，有一些不错的文档。

但是，还不清楚如何使EJB5.1/GateIn门户应用程序与PicketLink-STS集成，以便portlets可以获得(登录用户的)安全令牌，然后可以将其传递给后台JBoss服务，后者将根据PicketLink-STS进行验证以进行身份验证？

不知道这是不是可能，或者是一条死胡同。

Answer 1

我不是GateIn方面的专家，但是，我会在一些研究之后展示我的结果。

首先，我基于3.4 of GateIn is the last for JBoss 5版本。

要配置基于令牌的Gatein身份验证，必须启用身份验证，将GateIn与SAML2集成使用JBoss项目Picketlink Federation。

SAML单点登录身份验证基于SP和IDP之间的信任圈。这可以通过以下链接中描述的步骤来完成：Chapter 6. Authentication and Identity - SAML

所需资源可从以下url下载：

• GateIn https://repository.jboss.org/nexus/content/groups/public/org/gatein/sso/sso-packaging/1.1.2-Beta02/sso-packaging-1.1.2-Beta02.zip
• idp-sig： https://repository.jboss.org/nexus/service/local/repositories/releases/content/org/picketlink/quickstarts/picketlink-quickstarts/2.1.1.Final/picketlink-quickstarts-2.1.1.Final-webapps-jboss-as5.zip

(STS和更多示例)：SSO

STS配置是Identity Provider的一部分，可以按照以下文档中的说明进行编辑：SecurityToken Service Configuration (PicketLinkSTS Element)

完成启用基于SAML令牌的身份验证的所有步骤(正常工作)后，必须将以下筛选器添加到GateIn (如SAML2LogoutFilter)：

<filter>
   <filter-name>PicketlinkSTSIntegrationFilter</filter-name>
   <filter-class>org.gatein.sso.agent.filter.PicketlinkSTSIntegrationFilter</filter-class>
</filter>

<filter-mapping>
   <filter-name>PicketlinkSTSIntegrationFilter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>

此筛选器将org.picketlink.identity.federation.core.wstrust.SamlCredential设置为org.jboss.security.client.SecurityClient，从而能够将身份验证从SAML2 ticket传播到底层EJB或WS调用。

另请参阅：

• SAML EJB Integration with PicketLink STS
• SAML WS Integration with PicketLink STS

我希望这能有所帮助。