Keycloak SAML Galleon 功能包，适用于 WildFly 和 EAP

使用 Keycloak SAML Galleon 功能包保护 WildFly 和 EAP 中的应用程序

SAML 适配器以 Galleon 功能包的形式分发，适用于 WildFly 29 或更高版本。有关此主题的更多详细信息，请参阅 WildFly 文档。 JBoss EAP 8 GA 也提供了相同的选项。

有关如何将 Keycloak 与在最新的 Wildfly/EAP 上运行的 JakartaEE 应用程序集成的示例，请查看 Keycloak Quickstart GitHub 仓库中的 servlet-saml-service-provider Jakarta 文件夹。

安装

功能包的配置分别使用 wildfly-maven-plugin、wildfly-jar-maven-plugin 或 eap-maven-plugin 完成。

使用 wildfly maven 插件进行配置的示例

<plugin>
    <groupId>org.wildfly.plugins</groupId>
    <artifactId>wildfly-maven-plugin</artifactId>
    <version>5.0.0.Final</version>
    <configuration>
        <feature-packs>
            <feature-pack>
                <location>wildfly@maven(org.jboss.universe:community-universe)#32.0.1.Final</location>
            </feature-pack>
            <feature-pack>
                <groupId>org.keycloak</groupId>
                <artifactId>keycloak-saml-adapter-galleon-pack</artifactId>
                <version>26.2.0</version>
            </feature-pack>
        </feature-packs>
        <layers>
            <layer>core-server</layer>
            <layer>web-server</layer>
            <layer>jaxrs-server</layer>
            <layer>datasources-web-server</layer>
            <layer>webservices</layer>
            <layer>keycloak-saml</layer>
            <layer>keycloak-client-saml</layer>
            <layer>keycloak-client-saml-ejb</layer>
        </layers>
    </configuration>
    <executions>
        <execution>
            <goals>
                <goal>package</goal>
            </goals>
        </execution>
    </executions>
</plugin>

使用 wildfly jar maven 插件进行配置的示例

<plugin>
    <groupId>org.wildfly.plugins</groupId>
    <artifactId>wildfly-jar-maven-plugin</artifactId>
    <version>11.0.2.Final</version>
    <configuration>
        <feature-packs>
            <feature-pack>
                <location>wildfly@maven(org.jboss.universe:community-universe)#32.0.1.Final</location>
            </feature-pack>
            <feature-pack>
                <groupId>org.keycloak</groupId>
                <artifactId>keycloak-saml-adapter-galleon-pack</artifactId>
                <version>26.2.0</version>
            </feature-pack>
        </feature-packs>
        <layers>
            <layer>core-server</layer>
            <layer>web-server</layer>
            <layer>jaxrs-server</layer>
            <layer>datasources-web-server</layer>
            <layer>webservices</layer>
            <layer>keycloak-saml</layer>
            <layer>keycloak-client-saml</layer>
            <layer>keycloak-client-saml-ejb</layer>
        </layers>
    </configuration>
    <executions>
        <execution>
            <goals>
                <goal>package</goal>
            </goals>
        </execution>
    </executions>
</plugin>

使用 EAP maven 插件进行配置的示例

<plugin>
    <groupId>org.jboss.eap.plugins</groupId>
    <artifactId>eap-maven-plugin</artifactId>
    <version>1.0.0.Final-redhat-00014</version>
    <configuration>
        <channels>
            <channel>
                <manifest>
                    <groupId>org.jboss.eap.channels</groupId>
                    <artifactId>eap-8.0</artifactId>
                </manifest>
            </channel>
        </channels>
        <feature-packs>
            <feature-pack>
                <location>org.keycloak:keycloak-saml-adapter-galleon-pack</location>
            </feature-pack>
        </feature-packs>
        <layers>
            <layer>core-server</layer>
            <layer>web-server</layer>
            <layer>jaxrs-server</layer>
            <layer>datasources-web-server</layer>
            <layer>webservices</layer>
            <layer>keycloak-saml</layer>
            <layer>keycloak-client-saml</layer>
            <layer>keycloak-client-saml-ejb</layer>
        </layers>
    </configuration>
    <executions>
        <execution>
            <goals>
                <goal>package</goal>
            </goals>
        </execution>
    </executions>
</plugin>

配置

SAML 客户端适配器通过放置在 WAR 部署中的 XML 文件 /WEB-INF/keycloak-saml.xml 进行配置。配置可能如下所示

<keycloak-saml-adapter xmlns="urn:keycloak:saml:adapter"
                       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                       xsi:schemaLocation="urn:keycloak:saml:adapter {saml_adapter_xsd_urn}">
    <SP entityID="https://#:8081/sales-post-sig/"
        sslPolicy="EXTERNAL"
        nameIDPolicyFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"
        logoutPage="/logout.jsp"
        forceAuthentication="false"
        isPassive="false"
        turnOffChangeSessionIdOnLogin="false"
        autodetectBearerOnly="false">
        <Keys>
            <Key signing="true" >
                <KeyStore resource="/WEB-INF/keystore.jks" password="store123">
                    <PrivateKey alias="https://#:8080/sales-post-sig/" password="test123"/>
                    <Certificate alias="https://#:8080/sales-post-sig/"/>
                </KeyStore>
            </Key>
        </Keys>
        <PrincipalNameMapping policy="FROM_NAME_ID"/>
        <RoleIdentifiers>
            <Attribute name="Role"/>
        </RoleIdentifiers>
        <RoleMappingsProvider id="properties-based-role-mapper">
            <Property name="properties.resource.location" value="/WEB-INF/role-mappings.properties"/>
        </RoleMappingsProvider>
        <IDP entityID="idp"
             signaturesRequired="true">
        <SingleSignOnService requestBinding="POST"
                             bindingUrl="https://#:8081/realms/demo/protocol/saml"
                    />

            <SingleLogoutService
                    requestBinding="POST"
                    responseBinding="POST"
                    postBindingUrl="https://#:8081/realms/demo/protocol/saml"
                    redirectBindingUrl="https://#:8081/realms/demo/protocol/saml"
                    />
            <Keys>
                <Key signing="true">
                    <KeyStore resource="/WEB-INF/keystore.jks" password="store123">
                        <Certificate alias="demo"/>
                    </KeyStore>
                </Key>
            </Keys>
        </IDP>
     </SP>
</keycloak-saml-adapter>

您可以使用 ${…} 括起来作为系统属性替换。例如 ${jboss.server.config.dir}。要获取 XML 配置文件中不同元素的详细信息，请参阅 Keycloak SAML Galleon 功能包详细配置。

保护 WAR 安全

本节介绍如何通过在 WAR 包中添加配置和编辑文件来直接保护 WAR 安全。

一旦创建了 keycloak-saml.xml 并将其放在 WAR 的 WEB-INF 目录中，您必须在 web.xml 中将 auth-method 设置为 KEYCLOAK-SAML。您还必须使用标准 servlet 安全性来指定 URL 的基于角色的约束。以下是一个 web.xml 文件示例

<web-app xmlns="https://jakarta.ee/xml/ns/jakartaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="https://jakarta.ee/xml/ns/jakartaee https://jakarta.ee/xml/ns/jakartaee/web-app_6_0.xsd"
         version="6.0">

	<module-name>customer-portal</module-name>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Admins</web-resource-name>
            <url-pattern>/admin/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>admin</role-name>
        </auth-constraint>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Customers</web-resource-name>
            <url-pattern>/customers/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>user</role-name>
        </auth-constraint>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

    <login-config>
        <auth-method>KEYCLOAK-SAML</auth-method>
        <realm-name>this is ignored currently</realm-name>
    </login-config>

    <security-role>
        <role-name>admin</role-name>
    </security-role>
    <security-role>
        <role-name>user</role-name>
    </security-role>
</web-app>

除 auth-method 设置之外的所有标准 servlet 设置。

使用 Keycloak SAML 子系统保护 WAR 安全

您无需打开 WAR 即可使用 Keycloak 保护其安全。或者，您可以外部地通过 Keycloak SAML 适配器子系统保护其安全。虽然您不必将 KEYCLOAK-SAML 指定为 auth-method，但您仍然必须在 web.xml 中定义 security-constraints。但是，您不必创建 WEB-INF/keycloak-saml.xml 文件。此元数据是在服务器的 domain.xml 或 standalone.xml 子系统配置部分中的 XML 内定义的。

<extensions>
  <extension module="org.keycloak.keycloak-saml-adapter-subsystem"/>
</extensions>

<profile>
  <subsystem xmlns="urn:jboss:domain:keycloak-saml:1.1">
    <secure-deployment name="WAR MODULE NAME.war">
      <SP entityID="APPLICATION URL">
        ...
      </SP>
    </secure-deployment>
  </subsystem>
</profile>

secure-deployment name 属性标识您要保护的 WAR。它的值是在 web.xml 中定义的 module-name，并附加了 .war。其余配置使用与通用适配器配置中定义的 keycloak-saml.xml 配置相同的 XML 语法。

配置示例

<subsystem xmlns="urn:jboss:domain:keycloak-saml:1.1">
  <secure-deployment name="saml-post-encryption.war">
    <SP entityID="https://#:8080/sales-post-enc/"
        sslPolicy="EXTERNAL"
        nameIDPolicyFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"
        logoutPage="/logout.jsp"
        forceAuthentication="false">
      <Keys>
        <Key signing="true" encryption="true">
          <KeyStore resource="/WEB-INF/keystore.jks" password="store123">
            <PrivateKey alias="https://#:8080/sales-post-enc/" password="test123"/>
            <Certificate alias="https://#:8080/sales-post-enc/"/>
          </KeyStore>
        </Key>
      </Keys>
      <PrincipalNameMapping policy="FROM_NAME_ID"/>
      <RoleIdentifiers>
        <Attribute name="Role"/>
      </RoleIdentifiers>
      <IDP entityID="idp">
        <SingleSignOnService signRequest="true"
            validateResponseSignature="true"
            requestBinding="POST"
            bindingUrl="https://#:8080/realms/saml-demo/protocol/saml"/>

        <SingleLogoutService
            validateRequestSignature="true"
            validateResponseSignature="true"
            signRequest="true"
            signResponse="true"
            requestBinding="POST"
            responseBinding="POST"
            postBindingUrl="https://#:8080/realms/saml-demo/protocol/saml"
            redirectBindingUrl="https://#:8080/realms/saml-demo/protocol/saml"/>
        <Keys>
          <Key signing="true" >
            <KeyStore resource="/WEB-INF/keystore.jks" password="store123">
              <Certificate alias="saml-demo"/>
            </KeyStore>
          </Key>
        </Keys>
      </IDP>
    </SP>
   </secure-deployment>
</subsystem>

为 JSESSIONID Cookie 设置 SameSite 值

浏览器计划将 Cookie 的 SameSite 属性的默认值设置为 Lax。此设置意味着 Cookie 仅在请求源自同一域时才发送到应用程序。此行为可能会影响 SAML POST 绑定，这可能会变得无法正常工作。为了保持 SAML 适配器的完整功能，我们建议将 JSESSIONID Cookie 的 SameSite 值设置为 None，该 Cookie 由您的容器创建。否则可能会导致每次向 Keycloak 发出请求时都重置容器的会话。

为了避免将 SameSite 属性设置为 None，请考虑切换到 REDIRECT 绑定（如果可以接受），或切换到 OIDC 协议，在这种协议中，这种解决方法不是必需的。

要将 Wildfly/EAP 中 JSESSIONID Cookie 的 SameSite 值设置为 None，请将包含以下内容的 undertow-handlers.conf 文件添加到应用程序的 WEB-INF 目录中。

samesite-cookie(mode=None, cookie-pattern=JSESSIONID)

从 Wildfly 19.1.0 版本开始，支持此配置。

向身份提供程序注册

对于每个基于 servlet 的适配器，您为断言消费者服务 URL 和单点注销服务注册的端点必须是 servlet 应用程序的基本 URL，并在其后附加 /saml，即 https://example.com/contextPath/saml。

注销

您可以通过多种方式从 Web 应用程序注销。对于 Jakarta EE servlet 容器，您可以调用 HttpServletRequest.logout()。对于任何其他浏览器应用程序，您可以将浏览器指向 Web 应用程序的任何具有安全约束的 URL，并传入查询参数 GLO，即 http://myapp?GLO=true。如果您在浏览器中具有 SSO 会话，这将使您注销。

集群环境中的注销

在内部，SAML 适配器存储 SAML 会话索引、主体名称（如果已知）和 HTTP 会话 ID 之间的映射。对于可分发的应用程序，此映射可以在 JBoss 应用程序服务器系列（WildFly 10/11、EAP 6/7）中跨集群维护。作为前提条件，HTTP 会话需要跨集群分发（即，应用程序在应用程序的 web.xml 中标记有 <distributable/> 标记）。

要启用此功能，请将以下部分添加到您的 /WEB_INF/web.xml 文件中

<context-param>
    <param-name>keycloak.sessionIdMapperUpdater.classes</param-name>
    <param-value>org.keycloak.adapters.saml.wildfly.infinispan.InfinispanSessionCacheIdMapperUpdater</param-value>
</context-param>

如果部署的会话缓存名为 deployment-cache，则用于 SAML 映射的缓存将命名为 deployment-cache.ssoCache。缓存的名称可以通过上下文参数 keycloak.sessionIdMapperUpdater.infinispan.cacheName 覆盖。包含缓存的缓存容器将与包含部署会话缓存的容器相同，但可以通过上下文参数 keycloak.sessionIdMapperUpdater.infinispan.containerName 覆盖。

默认情况下，SAML 映射缓存的配置将从会话缓存派生。可以像其他缓存一样，在服务器的缓存配置部分手动覆盖配置。

目前，为了提供可靠的服务，建议为 SAML 会话缓存使用复制缓存。使用分布式缓存可能会导致 SAML 注销请求最终落在无法访问 SAML 会话索引到 HTTP 会话映射的节点上，从而导致注销失败。

跨站点场景中的注销

对于跨多个数据中心的会话处理，需要进行特殊处理。想象以下场景

登录请求在数据中心 1 的集群中处理。
管理员发出特定 SAML 会话的注销请求，该请求最终落在数据中心 2 中。

数据中心 2 必须注销数据中心 1（以及所有其他共享 HTTP 会话的数据中心）中存在的所有会话。

为了涵盖这种情况，上面描述的 SAML 会话缓存不仅需要在各个集群内复制，还需要跨所有数据中心复制，例如通过独立的 Infinispan/JDG 服务器

必须将缓存添加到独立的 Infinispan/JDG 服务器。
前一项中的缓存必须作为各自 SAML 会话缓存的远程存储添加。

一旦在部署期间发现 SAML 会话缓存上存在远程存储，就会监视其更改，并相应地更新本地 SAML 会话缓存。

获取断言属性

成功 SAML 登录后，您的应用程序代码可能希望获取使用 SAML 断言传递的属性值。HttpServletRequest.getUserPrincipal() 返回一个 Principal 对象，您可以将其类型转换为名为 org.keycloak.adapters.saml.SamlPrincipal 的 Keycloak 特定类。此对象允许您查看原始断言，并且还具有查找属性值的便捷功能。

package org.keycloak.adapters.saml;

public class SamlPrincipal implements Serializable, Principal {
    /**
     * Get full saml assertion
     *
     * @return
     */
    public AssertionType getAssertion() {
       ...
    }

    /**
     * Get SAML subject sent in assertion
     *
     * @return
     */
    public String getSamlSubject() {
        ...
    }

    /**
     * Subject nameID format
     *
     * @return
     */
    public String getNameIDFormat() {
        ...
    }

    @Override
    public String getName() {
        ...
    }

    /**
     * Convenience function that gets Attribute value by attribute name
     *
     * @param name
     * @return
     */
    public List<String> getAttributes(String name) {
        ...

    }

    /**
     * Convenience function that gets Attribute value by attribute friendly name
     *
     * @param friendlyName
     * @return
     */
    public List<String> getFriendlyAttributes(String friendlyName) {
        ...
    }

    /**
     * Convenience function that gets first  value of an attribute by attribute name
     *
     * @param name
     * @return
     */
    public String getAttribute(String name) {
        ...
    }

    /**
     * Convenience function that gets first  value of an attribute by attribute name
     *
     *
     * @param friendlyName
     * @return
     */
    public String getFriendlyAttribute(String friendlyName) {
        ...
    }

    /**
     * Get set of all assertion attribute names
     *
     * @return
     */
    public Set<String> getAttributeNames() {
        ...
    }

    /**
     * Get set of all assertion friendly attribute names
     *
     * @return
     */
    public Set<String> getFriendlyNames() {
        ...
    }
}

错误处理

Keycloak 为基于 servlet 的客户端适配器提供了一些错误处理工具。当身份验证中遇到错误时，客户端适配器将调用 HttpServletResponse.sendError()。您可以在 web.xml 文件中设置 error-page 以根据需要处理错误。客户端适配器可以抛出 400、401、403 和 500 错误。

<error-page>
    <error-code>403</error-code>
    <location>/ErrorHandler</location>
</error-page>

客户端适配器还会设置一个您可以检索的 HttpServletRequest 属性。属性名称为 org.keycloak.adapters.spi.AuthenticationError。将此对象类型转换为：org.keycloak.adapters.saml.SamlAuthenticationError。此类可以准确地告诉您发生了什么。如果未设置此属性，则适配器不对错误代码负责。

public class SamlAuthenticationError implements AuthenticationError {
    public static enum Reason {
        EXTRACTION_FAILURE,
        INVALID_SIGNATURE,
        ERROR_STATUS
    }

    public Reason getReason() {
        return reason;
    }
    public StatusResponseType getStatus() {
        return status;
    }
}

故障排除

排除问题的最佳方法是在客户端适配器和 Keycloak 服务器中都启用 SAML 的调试。使用您的日志框架，将 org.keycloak.saml 包的日志级别设置为 DEBUG。启用此选项后，您可以查看发送到服务器和从服务器发送的 SAML 请求和响应文档。

多租户

SAML 提供多租户，这意味着可以使用多个 Keycloak 领域保护单个目标应用程序 (WAR) 的安全。这些领域可以位于同一 Keycloak 实例上，也可以位于不同的实例上。

为此，应用程序必须具有多个 keycloak-saml.xml 适配器配置文件。

虽然您可以部署多个 WAR 实例，其中包含部署到不同上下文路径的不同适配器配置文件，但这可能不方便，并且您可能还希望基于上下文路径以外的其他内容选择领域。

Keycloak 使自定义配置解析器成为可能，因此您可以为每个请求选择使用哪个适配器配置。在 SAML 中，配置仅在登录处理中才重要；一旦用户登录，会话就会通过身份验证，并且 keycloak-saml.xml 返回的配置是否不同并不重要。因此，为同一会话返回相同的配置是正确的方法。

为了实现这一点，请创建 org.keycloak.adapters.saml.SamlConfigResolver 的实现。以下示例使用 Host 标头来定位正确的配置并从应用程序的 Java 类路径中加载它和关联的元素

package example;

import java.io.InputStream;
import org.keycloak.adapters.saml.SamlConfigResolver;
import org.keycloak.adapters.saml.SamlDeployment;
import org.keycloak.adapters.saml.config.parsers.DeploymentBuilder;
import org.keycloak.adapters.saml.config.parsers.ResourceLoader;
import org.keycloak.adapters.spi.HttpFacade;
import org.keycloak.saml.common.exceptions.ParsingException;

public class SamlMultiTenantResolver implements SamlConfigResolver {

    @Override
    public SamlDeployment resolve(HttpFacade.Request request) {
        String host = request.getHeader("Host");
        String realm = null;
        if (host.contains("tenant1")) {
            realm = "tenant1";
        } else if (host.contains("tenant2")) {
            realm = "tenant2";
        } else {
            throw new IllegalStateException("Not able to guess the keycloak-saml.xml to load");
        }

        InputStream is = getClass().getResourceAsStream("/" + realm + "-keycloak-saml.xml");
        if (is == null) {
            throw new IllegalStateException("Not able to find the file /" + realm + "-keycloak-saml.xml");
        }

        ResourceLoader loader = new ResourceLoader() {
            @Override
            public InputStream getResourceAsStream(String path) {
                return getClass().getResourceAsStream(path);
            }
        };

        try {
            return new DeploymentBuilder().build(is, loader);
        } catch (ParsingException e) {
            throw new IllegalStateException("Cannot load SAML deployment", e);
        }
    }
}

您还必须在 web.xml 中使用 keycloak.config.resolver 上下文参数配置要使用的 SamlConfigResolver 实现

<web-app>
    ...
    <context-param>
        <param-name>keycloak.config.resolver</param-name>
        <param-value>example.SamlMultiTenantResolver</param-value>
    </context-param>
</web-app>

Keycloak 特定错误

Keycloak 服务器可以在 SAML 响应中向客户端应用程序发送错误，其中可能包含 SAML 状态，例如

<samlp:Status>
  <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder">
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:AuthnFailed"/>
  </samlp:StatusCode>
  <samlp:StatusMessage>authentication_expired</samlp:StatusMessage>
</samlp:Status>

当用户通过身份验证并具有 SSO 会话时，Keycloak 会发送此错误，但身份验证会话在当前浏览器选项卡中已过期，因此 Keycloak 服务器无法自动执行用户的 SSO 重新身份验证并重定向回客户端并获得成功响应。当客户端应用程序收到此类错误时，最好立即重试身份验证并向 Keycloak 服务器发送新的 SAML 请求，由于 SSO 会话，这通常应该始终对用户进行身份验证并重定向返回。如果服务器返回注释状态，SAML 适配器会自动执行该重试。服务器管理指南中提供了更多详细信息。

在此页上

编辑本指南