使用SpringBoot 2 SAML2实现OAM的SSO

Question

我正在开发一个技术栈的web应用程序，它包含前端ReactJS和后端SpringBoot 2微服务。现在是使用使用SAML2 **的OAM()进行SSO集成**(单点登录)的时候了。

我和OAM团队进行了讨论，他们给了我以下细节

1. 实体ID或颁发者ID
2. OAM入口点或OAM SSO URL
3. X509证书
4. 断言使用者URL (ACS URL)，我给他们用于接收SAML响应

在网上，我可以找到很少的使用SSOCIRCLE、OKTA、ONEIDENTITY等的SSO选项，但是无法找到使用Springboot2 + SSO + OAM的任何资源。

请投一些灯或任何回应如何开始将不胜感激。

Answer 1

您可以从OAM安装开始：

https://docs.oracle.com/en/middleware/idm/access-manager/12.2.1.4/tutorial-oam-install-oam/

请参阅以下链接以了解应用程序中的部署和使用：https://docs.oracle.com/en/middleware/idm/access-manager/12.2.1.4/tutorial-oam-protect-wlsapp/#deploy-a-sample-application-to-weblogic-server

Answer 2

您必须集成下面的流

1. 登录流程:从web应用程序(前端)重定向到联邦系统端点(获取它们的登录端点)，这是一个浏览器重定向。这里有两种配置选项--当您重定向到它们的门户时，可以将xml元数据发送给它们，或者可以在OAM手动设置这些配置，并且只需进行简单的浏览器重定向。(我已经尝试了第二种选择)。

用户在联邦页面中输入凭据，该页面通过IdP进行身份验证，成功身份验证后，SP将在ACS登录url上得到通知。因此，您的登录url基本上是一个回调url，由它们调用，它们将在回调api上发送一个SAML响应。一旦您收到回调通知，您需要将用户重定向到您的门户。

为此，回调url应该将http响应状态代码设置为302，将response.headers.location设置为端点(以及saml响应)，以便用户重定向。在将用户重定向到您的门户之前，请注意验证saml签名。

在您的前端代码中，您必须使用windows.location.search检查SAML响应。

这些步骤将用户重定向回SP门户。

1. 注销流程:当用户单击SP注销按钮时，执行您的注销api，然后将用户重定向到Federation的注销url，浏览器重定向，在这种情况下，用户的会话也将在其(SAML)端终止，并将用户重定向到SP门户。

确保用户的会话(两者)是同步的。为此，在两端保持空闲超时和最大会话超时相同。

希望这能有所帮助。