Kann nicht liefern Attribute von JASIG CAS 3.5 mit SAML 1.1

Question

Ich versuche, einen JASIG CAS 3.5 Server zu konfigurieren, um Attribute über SAML 1.1 freizugeben, wie beschrieben here. Leider scheint nichts, was ich tue, es für meine Testanwendung freizugeben.

CAS-Server-Konfiguration

Ich begann mit den StubPersonAttributeDao verwenden, die in der Standardkonfiguration (DeployerConfigContext.xml) erscheint. Meine späteren Versuche, eine JDBC-Version einzurichten, erbrachten keine besseren Ergebnisse.

<bean id="attributeRepository" 
     class="org.jasig.services.persondir.support.StubPersonAttributeDao"> 
     <property name="backingMap"> 
       <map> 
         <entry key="uid" value="uid" /> 
         <entry key="eduPersonAffiliation" value="eduPersonAffiliation" /> 
         <entry key="groupMembership" value="groupMembership" /> 
       </map> 
     </property> 
</bean> 

Ich stellte sicher, dass meine Testanwendung berechtigt war, CAS zu verwenden, und dass die Attribute zu ihm zugelassen wurden.

<bean 
     id="serviceRegistryDao" 
     class="org.jasig.cas.services.InMemoryServiceRegistryDaoImpl"> 
    <property name="registeredServices"> 
     <list> 
      <!-- MIS Developers --> 
      <bean class="org.jasig.cas.services.RegexRegisteredService"> 
       <property name="id" value="6" /> 
       <property name="name" value="Grails run-app" /> 
       <property name="description" value="JCC Developers can use this from any PC within the jccadmin domain." /> 
       <property name="serviceId" value="http://.*.my.domain:8080/.*" /> 
       <property name="evaluationOrder" value="6" /> 
       <property name="allowedAttributes"> 
        <list> 
        <value>uid</value> 
        <value>eduPersonAffiliation</value> 
        <value>groupMembership</value> 
        </list> 
       </property> 
      </bean> 
     </list> 
    </property> 
</bean> 

Die Attribute werden hervorgehoben, wenn Sie sie in der CAS-Dienstanwendung betrachten.

Die Tests

Um zu erfahren, ob meine Attribute tatsächlich arbeiten wurden, habe ich eine CAS testing application von Gradle verwenden und die Jetty Plugin Fleisch dem sample code auf der JASIG Webseite zu geben. Meine Anwendung authentifiziert sich beim Server und erstellt dann eine SAML 1.1-Anforderung zum Abrufen der Attribute.

Ich habe überprüft, dass es die richtige SAML-Anfrage macht.

https://my.test.server/cas/samlValidate?TARGET=http%3A%2F%2Fmy.local.machine%3A8080%2Fcas_tester%2F

Er erhält die folgende Antwort von meinem CAS-Server.

<?xml version="1.0" encoding="UTF-8"?> 
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> 
    <SOAP-ENV:Header/> 
    <SOAP-ENV:Body> 
    <Response xmlns="urn:oasis:names:tc:SAML:1.0:protocol" 
       xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" 
       xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol" 
       xmlns:xsd="http://www.w3.org/2001/XMLSchema" 
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
       IssueInstant="2017-02-01T14:40:35.328Z" 
       MajorVersion="1" 
       MinorVersion="1" 
       Recipient="http://my.local.machine:8080/cas_tester/" 
       ResponseID="_a0df351b1081dafe599829f406be79f5"> 
     <Status> 
     <StatusCode Value="samlp:Success"> 
     </StatusCode> 
     </Status> 
     <Assertion xmlns="urn:oasis:names:tc:SAML:1.0:assertion" 
       AssertionID="_988118abbd06485ab7f1eb684639ce38" 
       IssueInstant="2017-02-01T14:40:35.328Z" 
       Issuer="localhost" 
       MajorVersion="1" 
       MinorVersion="1"> 
     <Conditions NotBefore="2017-02-01T14:40:35.328Z" 
        NotOnOrAfter="2017-02-01T14:41:05.328Z"> 
      <AudienceRestrictionCondition> 
      <Audience>http://my.local.machine:8080/cas_tester/</Audience> 
      </AudienceRestrictionCondition> 
     </Conditions> 
     <AuthenticationStatement AuthenticationInstant="2017-02-01T14:40:34.312Z" 
           AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:unspecified"> 
      <Subject> 
      <NameIdentifier>coleew01</NameIdentifier> 
      <SubjectConfirmation> 
       <ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:artifact</ConfirmationMethod> 
      </SubjectConfirmation> 
      </Subject> 
     </AuthenticationStatement> 
     </Assertion> 
    </Response> 
    </SOAP-ENV:Body> 
</SOAP-ENV:Envelope> 

Egal was ich tue, es zeigt keine Attribute in der Antwort. Was mache ich falsch?

Danke für jede Hilfe, die Sie mir geben können.

Answer 1

Es stellt sich heraus, dass das Problem weit von der Attributkonfiguration entfernt war. In meiner Bean gab es keinen Verweis auf den Attribut-Resolver.

<property name="credentialsToPrincipalResolvers"> 
     <list> 
       <!-- 
         | UsernamePasswordCredentialsToPrincipalResolver supports the UsernamePasswordCredentials that we use for /login 
         | by default and produces SimplePrincipal instances conveying the username from the credentials. 
         | 
         | If you've changed your LoginFormAction to use credentials other than UsernamePasswordCredentials then you will also 
         | need to change this bean declaration (or add additional declarations) to declare a CredentialsToPrincipalResolver that supports the 
         | Credentials you are using. 
         +--> 
       <bean 
         class="org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver"/> 
       <!-- 
         | HttpBasedServiceCredentialsToPrincipalResolver supports HttpBasedCredentials. It supports the CAS 2.0 approach of 
         | authenticating services by SSL callback, extracting the callback URL from the Credentials and representing it as a 
         | SimpleService identified by that callback URL. 
         | 
         | If you are representing services by something more or other than an HTTPS URL whereat they are able to 
         | receive a proxy callback, you will need to change this bean declaration (or add additional declarations). 
         +--> 
       <bean 
         class="org.jasig.cas.authentication.principal.HttpBasedServiceCredentialsToPrincipalResolver" /> 
     </list> 
</property> 

habe ich einen Verweis auf die attributeRepository in die Bohne für die UsernamePasswordCredentialsToPrincipalResolver.

<bean 
     class="org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver" > 
    <property name="attributeRepository"> 
     <ref bean="attributeRepository"/> 
    </property> 
</bean> 

Und dann kamen meine Attribute durch. Deo gratias!