Single Sign-On (SSO): OpenAM + mod_auth_mellon

в 12:31, , рубрики: mod_auth_mellon, OpenAM, SSO, Веб-разработка, информационная безопасность, системное администрирование

Пост расcчитан на новичков, которые только знакомятся с SSO. В интернете не очень много документации по связке OpenAM и mod_auth_mellon, тем более на русском языке.
Для быстрого старта буду использовать образы Docker. Для аутентификации пользователя рассмотрю модуль mod_auth_mellon, но можно использовать и другие методы, к примеру Policy Agent или OpenIG.

Теория

Технология единого входа (англ. Single Sign-On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.
OpenAM (Access Management) — провайдер идентификации (IdP, англ. identity provider), осуществляет аутентификацию пользователя.
mod_auth_mellon — модуль apache, который аутентифицирует пользователя через IdP (OpenAM).

Настройка

Добавить в /etc/hosts домены для OpenAM и тестовых приложений:

127.0.0.1 openam.example.com fake.mellon.app.one fake.mellon.app.two

Запускаем OpenAM:

docker run -d -t -p 8080:8080 --add-host "openam.example.com:127.0.0.1" wstrange/openam-base-nightly

Запускаем тестовые приложения:

git clone git@bitbucket.org:agobzhelyan/openam_mellon.git
cd openam_mellon
docker build -t fake_mellon_app_one fake_app_1
docker run -d -p 8091:80 --name fake_mellon_app_one fake_mellon_app_one
docker build -t fake_mellon_app_two fake_app_2
docker run -d -p 8092:80 --name fake_mellon_app_two fake_mellon_app_two

Настраиваем OpenAM. Можно было создать docker образ, чтобы не делать это вручную. Но, думаю, будет лучше пройти эти простые шаги самому, чтобы лучше понять, как это работает:

— открываем http://openam.example.com:8080/openam/;
— нажимаем Create Default Configuration;
— пароль для amAdmin — secret12, для UrlAccessAgent — secret123;
— переходим в Home (amAdmin / secret12), далее Federation и добавляем новый Circle of Trust с именем TestCOT;
— переходим на страницу Create Identity Provider: http://openam.example.com:8080/openam/task/CreateHostedIDP. Меняем Signing Key на test и ждем на Configure, потом Finish;
— переходим на страницу Create Remote Service Provider: http://openam.example.com:8080/openam/task/CreateRemoteSP. Ждем на File и загружаем fake_app_1/mellon/fake_mellon_app_one.xml, убеждаемся что COT выбран TestCOT
— тоже самое для fake_mellon_app_two.xml.

Настройка mod_auth_mellon. Тут лучше почитать https://github.com/UNINETT/mod_auth_mellon и посмотреть пример реализации в тестовых приложениях https://bitbucket.org/agobzhelyan/openam_mellon/src.

Тестирование

— выходим из админки http://openam.example.com:8080/openam/ и переходим в приложение 1 — http://fake.mellon.app.one:8091/;
— нажимаем ссылку backend;
— нас перенаправит на логин страницу. Вводим demo / changeit;
— после этого возвращаемся на запрашиваемую (защищенную) страницу;
— переходим в приложение 2 http://fake.mellon.app.two:8092/backend/ и обращаем внимание что и тут мы залогинены.

Заключение

Как видите, все просто, но на этапе знакомства с новой технологией уходит много времени. Надеюсь, время на написание этого поста потрачено не даром и он будет кому-то полезен. Тех, кто имеет опыт работы с данной технологией, прошу делиться им в комментариях.

Список используемой литературы

www.lab-ic.ru/solutions/sso
doc.arcgis.com/ru/arcgis-online/reference/configure-openam.htm
openam.forgerock.org/doc/getting-started/index.html
en.wikipedia.org/wiki/Single_sign-on
blog.kaliconseil.fr/2011/02/21/using-openam-with-apache-as-a-reverse-proxy
mkchendil.blogspot.ch/2015/02/apache-and-openam-saml-federation.html
blogs.splunk.com/2013/03/28/splunkweb-sso-samlv2

Автор: TpeHep

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js