SAML / ADFS node.js实现指南？

我最近经历了相同的思考过程：从未听说过SAML，我需要启用一个Web应用程序，通过SAML将OneLogin作为身份提供程序（而不是Active Directory）进行身份验证。

在实施过程中，我大量使用了OneLogin的文档和passport-saml库，我推荐这两个库，尽管我也没有。

我意识到的是混乱是三重的：

（1）SAML如何工作，

（2）passport-saml库如何在Node中工作，以及

（3）如何配置身份提供者（OneLogin，Active Directory或其他）。接下来是我尝试了一个“类似于解释的五个”解释。

SAML

安全断言标记语言（SAML）是一种XML标准，允许用户根据其浏览器会话登录。它有很多，但基本上，它可以实现更简单的身份验证过程。用户可以单击按钮而不是提交包含用户名和密码的表单。

SAML的工作方式更为复杂。我发现this overview from OneLogin和附图很有帮助：

该图表示以下过程：

1. 用户单击按钮以使用SAML对给定应用程序（有时称为服务提供者）进行身份验证。发出（以节点或其他方式）请求以构建SAML授权请求。
2. 构建授权请求。该授权请求是XML（see more on OneLogin），编码和/或加密，并作为查询参数附加到URL。 Node将浏览器重定向到此URL（类似于https://domain.onelogin.com/trust/saml2/http-post/sso/123456?SAMLRequest=...encodedXML..。）。
3. OneLogin作为身份提供者，从浏览器会话中确定用户是否已登录。如果不是，则提示用户使用OneLogin的登录表单。如果是，则浏览器将SAML响应POST回应用程序（服务提供商）。此SAML响应（同样是XML）包括有关用户的某些属性，如NameID。
4. 返回Node，应用程序验证SAML响应并完成身份验证。

节点和passport-saml

Passport.js是Node的身份验证中间件。它需要一个策略，可能像passport-local，或者在我们的例子中，passport-saml。

由于passport-local策略使用用户名/密码启用Passport身份验证，因此passport-saml策略使用浏览器会话和可配置的身份提供程序值启用Passport身份验证。

虽然passport-saml非常适合我的目的，但它的文档很难理解。由于OpenIdp身份提供程序处于非活动状态并且有许多可配置参数，因此配置示例不起作用。

我关心的主要问题是：entryPoint和path（或callbackURL）。我只需要这两个，它们执行以下操作：

• entryPoint是使用授权请求重定向到的URL（参见上面的＃2）。
• path / callbackURL在Node中设置要发布的SAML响应的URL /路由（参见上面的＃3）。

还有很多重要且有价值的其他参数，但只使用这两个参数就可以配置SAML SSO。

身份提供商配置

最后，需要配置身份提供者本身，以便在给定SAML授权请求的情况下，它知道在何处发送SAML响应。在OneLogin的情况下，这意味着设置ACS (Consumer) URL和ACS (Consumer) URL Validator，两者都应该匹配为passport-saml配置的path / callbackURL。

可以配置其他内容（以支持注销和其他功能），但这是验证的最低要求。

摘要

原始问题分为两部分：（1）如何实现SAML / ADFS集成;（2）高级SAML node.js实现指南。这个答案解决了第二个问题

至于与Active Directory的专门集成，我建议使用passport-saml's docs on ADFS，请记住有两个部分：配置passport-saml以使用ADFS身份提供程序并配置ADFS服务器以响应Node。

我可能在这里错了，但我相信它来自https://servername/FederationMetadata/2007-06/FederationMetadata.xml上的ADFS服务器XML。

拉出X509证书。我有同样的问题，我接下来会尝试。

至于问题的第一部分，证书来自提供者。请查看passport-saml文档。

只需提取身份提供商的公共签名证书（X.509），并确保将其格式化为PEM编码。正确格式化的PEM编码证书将以-----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----结尾。