访问控制：使用Shibboleth进行用户SSO的示例

准备工作

1. 安装Shibboleth、Tomcat和LDAP Server。

2. 配置LDAP Server。

   为了更好地演示示例，在LDAP中添加一个管理员账号，DN为uid=admin,ou=system，密码为secret。

   在LDAP中添加一个测试账号，DN为cn=Test User,ou=users,dc=wimpi,dc=net，密码为secret，具体信息如下图所示。

   

   用户信息字段：

   • mail：对应阿里云的RAM用户登录名称。

   • memberof：对应于阿里云的RAM角色名称。

   • samaccountname：用于配置登录Shibboleth的用户名。

   • userpassword：登录的密码。

3. 配置Shibboleth连接LDAP Server。

   修改/opt/shibboleth-idp/conf/ldap.properties文件的以下数据：

   # LDAP认证模式
   idp.authn.LDAP.authenticator = bindSearchAuthenticator
   
   # LDAP的地址
   idp.authn.LDAP.ldapURL = ldaps://[LDAP服务地址]:389
   
   # 禁用TSL和SSL
   idp.authn.LDAP.useStartTLS = false
   idp.authn.LDAP.useSSL = false
   
   # 基本搜索目录
   idp.authn.LDAP.baseDN = dc=wimpi,dc=net
   idp.authn.LDAP.subtreeSearch = true
   # 登录匹配规则，samaccountname是用户数据中的字段，用于登录LDAP。
   idp.authn.LDAP.userFilter= (samaccountname={user})
   
   # admin账户和密码
   idp.authn.LDAP.bindDN = uid=admin,ou=system
   idp.authn.LDAP.bindDNCredential = secret
   
   idp.attribute.resolver.LDAP.searchFilter =(samaccountname=$resolutionContext.principal)

步骤一：在阿里云获取SAML服务提供商元数据

1. 使用阿里云账号登录RAM控制台。

2. 在左侧导航栏，选择集成管理 > SSO管理。

3. 在SSO管理页面，单击用户SSO页签。

4. 在SSO登录设置区域，复制SAML服务提供商元数据URL。

5. 在新的浏览器窗口中打开复制的链接，将元数据XML文件另存到/opt/shibboleth-idp/metadata/aliyun-ram-user-metadata.xml。

   说明

   元数据XML文件保存了阿里云作为一个SAML服务提供商的访问信息。您需要记录XML文件中EntityDescriptor元素的entityID属性值，以便后续在Shibboleth的配置中使用。

步骤二：将阿里云注册到Shibboleth

配置/opt/shibboleth-idp/conf/metadata-providers.xml，指定步骤一：在阿里云获取SAML服务提供商元数据获取的元数据文件，将阿里云注册到Shibboleth。

<!--
    <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="PATH_TO_YOUR_METADATA"/>
-->

<!-- 找到上方注释代码，替换为下方代码 -->

<MetadataProvider id="AliyunMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/aliyun-ram-user-metadata.xml"/>

步骤三：配置Shibboleth返回的用户属性

1. 修改/opt/shibboleth/conf/services.xml。

   原版使用的是attribute-resolver.xml配置文件，包含的配置信息不够，需要启动完整版的配置，将其替换为attribute-resolver-full.xml。

   <value>%{idp.home}/conf/attribute-resolver.xml</value>
   <!-- 找到上方代码，替换为下方代码 -->
   <value>%{idp.home}/conf/attribute-resolver-full.xml</value>

2. 修改/opt/shibboleth/conf/attribute-resolver-full.xml。

   1. 在该文件中配置用户信息中返回的属性。本示例中选择mail字段作为返回属性。

      <!-- ========================================== -->
      <!--      Attribute Definitions                 -->
      <!-- ========================================== -->
      
      <!-- Schema: Core schema attributes-->
      
      <!-- 找到上方注释代码，在后面加入下方代码 -->
      
      <AttributeDefinition xsi:type="Simple" id="mail">
          <InputDataConnector ref="myLDAP" attributeNames="mail" />
          <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
          <AttributeEncoder xsi:type="SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" />
      </AttributeDefinition>

   2. 在该文件中读取/opt/shibboleth/conf/ldap.properties中配置的信息，进行IDAP连接的创建。

      <!-- Example LDAP Connector -->
      <!--
      	<DataConnector id="myLDAP" xsi:type="LDAPDirectory"
      		ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}"
      		baseDN="%{idp.attribute.resolver.LDAP.baseDN}"
      		principal="%{idp.attribute.resolver.LDAP.bindDN}"
      		principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}"
      		useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}"
      		...省略...
      	</DataConnector>
      -->
      
      <!-- 找到上方示例代码，将其替换为下方代码 -->
      
      <DataConnector id="myLDAP" xsi:type="LDAPDirectory"
      			   ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}"
      			   baseDN="%{idp.attribute.resolver.LDAP.baseDN}"
      			   principal="%{idp.attribute.resolver.LDAP.bindDN}"
      			   principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}"
      			   useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS}"
      			   connectTimeout="%{idp.attribute.resolver.LDAP.connectTimeout}"
      			   responseTimeout="%{idp.attribute.resolver.LDAP.responseTimeout}">
      	<FilterTemplate>
      		<![CDATA[
      				%{idp.attribute.resolver.LDAP.searchFilter}
      			]]>
      	</FilterTemplate>
      </DataConnector>

3. 修改/opt/shibboleth/conf/attribute-filter.xml，添加属性过滤器。

   将PolicyRequirementRule标签中的value属性替换为步骤一：在阿里云获取SAML服务提供商元数据中的阿里云entityID。

   <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
   							xmlns="urn:mace:shibboleth:2.0:afp"
   							xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   							xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
   	
   <!-- 找到上方代码，在后面加入下方代码 -->
   	
   <AttributeFilterPolicy id="aliyun">
   	<PolicyRequirementRule xsi:type="Requester" value="[entityID]" />
   	<AttributeRule attributeID="mail">
   		<PermitValueRule xsi:type="ANY" />
   	</AttributeRule>
   </AttributeFilterPolicy>

步骤四：配置SAML响应的NameID

1. 修改/opt/shibboleth/conf/relying-party.xml，为阿里云建立NameID的配置。

   将bean标签中的relyingPartyIds属性替换为步骤一：在阿里云获取SAML服务提供商元数据中的阿里云entityID。

   <!--
   	Override example that identifies a single RP by name and configures it
   	for SAML 2 SSO without encryption. This is a common "vendor" scenario.
   -->
   <!--
   <bean parent="RelyingPartyByName" c:relyingPartyIds="https://sp.example.org">
   	<property name="profileConfigurations">
   		<list>
   			<bean parent="SAML2.SSO" p:encryptAssertions="false" />
   		</list>
   	</property>
   </bean>
   -->
   
   <!-- 找到上方注释代码，替换为下方代码 -->
   
   <bean parent="RelyingPartyByName" c:relyingPartyIds="[entityID]">
       <property name="profileConfigurations">
           <list>
               <bean parent="SAML2.SSO" p:encryptAssertions="false" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
           </list>
       </property>
   </bean>

2. 修改/opt/shibboleth/conf/saml-nameid.xml，配置NameID的生成方式。

   <!-- 找到下方两处代码，将其注释取消，使之生效 -->
   
   <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
       p:omitQualifiers="true"
       p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
       p:attributeSourceIds="#{ {'mail'} }" />
   
   <bean parent="shibboleth.SAML1AttributeSourcedGenerator"
       p:omitQualifiers="true"
       p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
       p:attributeSourceIds="#{ {'mail'} }" />

3. 修改/opt/shibboleth/conf/saml-nameid.properties，配置NameID的相关属性。

   idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
   idp.persistentId.useUnfilteredAttributes = true
   idp.persistentId.encoding = BASE32

步骤五：在Shibboleth获取SAML IdP元数据

1. 重启Tomcat，使前面的配置生效。

2. 访问https:///<您的服务器地址>/idp/shibboleth，将元数据文件保存到本地。

步骤六：在阿里云开启用户SSO

1. 在RAM控制台的左侧导航栏，选择集成管理 > SSO管理。

2. 在SSO管理页面，单击用户SSO页签。

3. 在SSO登录设置区域，单击编辑。

4. 在编辑SSO登录设置面板的SSO功能状态区域，单击开启。

   说明

   用户SSO是一个全局功能，开启后，所有RAM用户都需要使用SSO登录。 如果您是通过RAM用户配置的，请先保留为关闭状态，您需要先完成RAM用户的创建，以免配置错误导致自己无法登录。您也可以通过阿里云账号（主账号）进行配置来规避此问题。

5. 在元数据文档区域，单击上传文件，上传从步骤五：在Shibboleth获取SAML IdP元数据中获取的IdP元数据文件。

6. 在辅助域名区域，单击开启，并配置辅助域名为Shibboleth中的用户名Email后缀。

   在本示例中为testdomain.alicloud.com。

7. 单击确定。

步骤七：在阿里云创建RAM用户

1. 在RAM控制台的左侧导航栏，选择身份管理 > 用户。

2. 在用户页面，单击创建用户。

3. 在创建用户页面，输入登录名称和显示名称。

   说明

   请确保RAM用户的登录名称前缀与Shibboleth中的用户名Email前缀保持一致，本示例中为testUser。

4. 在访问方式区域，选择控制台访问，并设置登录密码等参数。

5. 单击确定。

验证结果

完成上述配置后，您可以从阿里云或Shibboleth发起SSO登录。

• 从阿里云侧发起登录

  1. 在RAM控制台的概览页，复制RAM用户的登录地址。

  2. 将鼠标悬停在右上角头像的位置，单击退出登录或使用新的浏览器打开复制的RAM用户登录地址。

  3. 单击使用企业账号登录，系统会自动跳转到Shibboleth的登录页面。

  4. 在Shibboleth的登录界面，输入用户名（testUser）和密码，单击登录。

     系统将自动SSO登录并重定向到阿里云控制台首页。

• 从Shibboleth侧发起登录

  1. 访问https://<您的服务器地址>/idp/profile/SAML2/Unsolicited/SSO?providerId=<entityID>。

     该链接中的<entityID>为步骤一：在阿里云获取SAML服务提供商元数据中的阿里云entityID。

  2. 在Shibboleth的登录界面，输入用户名（testUser）和密码，单击登录。

     系统将自动SSO登录并重定向到阿里云控制台首页。

常见问题

结果验证时如果遇到问题，您可以查看/opt/shibboleth-idp/logs/idp-process.log，通过日志分析问题原因。常见问题如下：