SAML / ADFS node.js实现指南？

我认识到的是,混淆是三重的：(1)SAML如何工作,(2)护照 – saml库如何在Node中工作,以及(3)如何配置身份提供者(OneLogin,Active Directory,或其他).接下来是我尝试一个“解释一样五进制”的解释.

SAML

安全断言标记语言(SAML)是允许用户根据浏览器会话登录的XML标准.它有很多,但基本上它可以实现更简单的身份验证过程.用户可以单击按钮,而不是使用用户名和密码提交表单.

SAML的工作方式更多地涉及.我发现this overview from OneLogin和附图有帮助：

该图表示以下过程：

>用户点击按钮,使用SAML为给定的应用程序(有时称为服务提供商)进行身份验证.对节点或其他方式进行请求以构建SAML授权请求.
>构建授权请求.该授权请求是XML(see more on OneLogin),编码和/或加密,并作为查询参数附加到URL.节点将浏览器重定向到此URL(类似https://domain.onelogin.com/trust/saml2/http-post/sso/123456?SAMLRequest=…encodedXML...).
> OneLogin作为身份提供者,从浏览器会话确定用户是否已经登录,如果没有,用户将以OneLogin的登录表单提示.如果是这样,浏览器将SAML响应发回给应用程序(服务提供商).这个SAML响应(再次是XML)包括有关用户的某些属性,如NameID.
>返回到节点,应用程序将验证SAML响应并完成身份验证.

节点和护照saml

Passport.js是Node的认证中间件.它需要一种策略,这可以是护照本地的,或者在我们的例子中是护照.由于护照本地策略使用用户名/密码启用Passport身份验证,因此passport-saml策略可以使用浏览器会话和可配置的身份提供者值进行Passport身份验证.

虽然护照saml非常好地服务于我的目的,但其文档很难理解.配置示例不起作用,因为OpenIdp身份提供程序处于非活动状态,并且有大量可配置的参数.我关心的主要是：entryPoint和path(或callbackURL).我只需要这两个,它们执行以下操作：

> entryPoint是使用授权请求重定向到的URL(参见上面的#2).
> path / callbackURL在Node中设置要发布的SAML响应的URL /路由(参见上面的#3).

有许多其他参数是重要和有价值的,但可以使用这两个配置SAML SSO.

身份提供者配置

最后,身份提供者本身需要配置,以便在给定SAML授权请求时,它才知道发送SAML响应的位置.在OneLogin的情况下,这意味着设置一个ACS(消费者)URL和一个ACS(消费者)URL验证器,两者都应该匹配为护照saml配置的路径/ callbackURL.

可以配置其他东西(以支持注销和其他功能),但这是最低限度的认证.

概要

原来的问题有两个部分：(1)如何实现SAML / ADFS集成和(2)高级SAML node.js实现指南.这个答案解决了第二个问题.

至于与Active Directory的专门集成,我建议您使用passport-saml’s docs on ADFS,请注意,有两个部分：配置护照saml以使用ADFS身份提供程序并配置ADFS服务器以响应Node.