跳到主要内容
版本:7.0.2

Saml 2.0 元数据

DeepSeek V3 中英对照 SAML2 Metadata Saml 2.0 Metadata

Spring Security 能够解析断言方元数据以生成 AssertingPartyMetadata 实例,同时也能从 RelyingPartyRegistration 实例发布依赖方元数据

解析 <saml2:IDPSSODescriptor> 元数据

你可以使用RelyingPartyRegistrations来解析断言方的元数据。

在使用 OpenSAML 供应商支持时,生成的 AssertingPartyMetadata 将是 OpenSamlAssertingPartyDetails 类型。这意味着你可以通过以下方式获取底层的 OpenSAML XMLObject:

OpenSamlAssertingPartyDetails details = (OpenSamlAssertingPartyDetails)
        registration.getAssertingPartyMetadata();
EntityDescriptor openSamlEntityDescriptor = details.getEntityDescriptor();

使用 AssertingPartyMetadataRepository

你也可以通过使用AssertingPartyMetadataRepository接口来实现比RelyingPartyRegistrations更具针对性的配置,该接口专门用于检索断言方元数据。

这带来了三个有价值的特性:

  • 实现能够以感知过期时间的方式刷新断言方元数据

  • RelyingPartyRegistrationRepository 的实现可以更清晰地表达依赖方与其一个或多个对应断言方之间的关系

  • 实现能够验证元数据签名

例如,OpenSaml5AssertingPartyMetadataRepository 使用了 OpenSAML 的 MetadataResolver 及其 API,该 API 的实现会定期以感知过期的方式刷新底层元数据。

这意味着你现在只需几行代码即可创建一个可刷新的 RelyingPartyRegistrationRepository

@Component
public class RefreshableRelyingPartyRegistrationRepository
        implements IterableRelyingPartyRegistrationRepository {

	private final AssertingPartyMetadataRepository metadata =
            OpenSaml5AssertingPartyMetadataRepository
                .fromTrustedMetadataLocation("https://idp.example.org/metadata").build();

	@Override
    public RelyingPartyRegistration findByRegistrationId(String registrationId) {
		AssertingPartyMetadata metadata = this.metadata.findByEntityId(registrationId);
        if (metadata == null) {
            return null;
        }
		return applyRelyingParty(metadata);
    }

	@Override
    public Iterator<RelyingPartyRegistration> iterator() {
		return StreamSupport.stream(this.metadata.spliterator(), false)
            .map(this::applyRelyingParty).iterator();
    }

	private RelyingPartyRegistration applyRelyingParty(AssertingPartyMetadata metadata) {
		return RelyingPartyRegistration.withAssertingPartyMetadata(metadata)
            // apply any relying party configuration
            .build();
	}

}
提示

OpenSaml5AssertingPartyMetadataRepository 也提供了一个构造函数,以便你可以提供一个自定义的 MetadataResolver。由于底层的 MetadataResolver 负责处理过期和刷新,如果你直接使用这个构造函数,只有通过提供一个实现了这些功能的 MetadataResolver 实现,你才能获得这些特性。

验证元数据签名

你也可以通过提供适当的 Saml2X509Credential 集合,使用 OpenSaml5AssertingPartyMetadataRepository 来验证元数据签名,具体操作如下:

OpenSaml5AssertingPartyMetadataRepository.withMetadataLocation("https://idp.example.org/metadata")
    .verificationCredentials((c) -> c.add(myVerificationCredential))
    .build();
备注

如果未提供凭证,组件将不会执行签名验证。

生成 <saml2:SPSSODescriptor> 元数据

你可以使用 saml2Metadata DSL 方法来发布元数据端点,如下所示:

http
    // ...
    .saml2Login(withDefaults())
    .saml2Metadata(withDefaults());

您可以使用此元数据端点,将您的依赖方注册到断言方。通常只需找到正确的表单字段来提供元数据端点即可完成。

默认情况下,元数据端点为 /saml2/metadata,但它也会响应 /saml2/metadata/{registrationId}/saml2/service-provider-metadata/{registrationId}

你可以通过调用DSL中的metadataUrl方法进行修改:

.saml2Metadata((saml2) -> saml2.metadataUrl("/saml/metadata"))

更改 RelyingPartyRegistration 的查找方式

如果你有识别使用哪个 RelyingPartyRegistration 的不同策略,可以配置自己的 Saml2MetadataResponseResolver,如下所示:

@Bean
Saml2MetadataResponseResolver metadataResponseResolver(RelyingPartyRegistrationRepository registrations) {
	RequestMatcherMetadataResponseResolver metadata = new RequestMatcherMetadataResponseResolver(
			(id) -> registrations.findByRegistrationId("relying-party"));
	metadata.setMetadataFilename("metadata.xml");
	return metadata;
}