将JBoss GateIn Portal与PicketLink-STS（SAML）集成

Question

我试图找出（如果可能的话）如何将JBoss GateIn Portal应用程序与PicketLink-STS集成以生成可用于实现“单点登录”的安全令牌（即SAML断言）（因此与需要身份验证的后端EJB服务进行对话。

有关如何使用EJB服务配置JBoss 5.1并使用PicketLink-STS保护它们以获得安全令牌（通过安全域和登录配置模块实现）进行身份验证的文档。

但是，目前还不清楚如何让JBoss 5.1 / GateIn门户应用程序与PicketLink-STS集成，以便portlet可以获取安全令牌（对于登录用户），然后传递给后端EJB针对PicketLink-STS验证的服务？

想知道这是否可行或是一条死路。

Answer 1

我不是GateIn的专家，但是，经过一些研究后我会显示我的结果。

首先我基于版本3.4 of GateIn is the last for JBoss 5。

要配置Gatein身份验证 SAML 基于令牌，必须启用SSO身份验证，与SAML2集成的GateIn使用JBoss项目Picketlink Federation。

SAML SSO身份验证基于 SP 和 IDP 之间的信任圈。这可以通过以下链接中描述的步骤来完成：Chapter 6. Authentication and Identity - SAML

可以从以下网址下载所需资源：

• GateIn SSO： https://repository.jboss.org/nexus/content/groups/public/org/gatein/sso/sso-packaging/1.1.2-Beta02/sso-packaging-1.1.2-Beta02.zip
• idp-sig（STS及更多示例）： https://repository.jboss.org/nexus/service/local/repositories/releases/content/org/picketlink/quickstarts/picketlink-quickstarts/2.1.1.Final/picketlink-quickstarts-2.1.1.Final-webapps-jboss-as5.zip

STS 配置是身份提供商的一部分，可以按照以下文档中的说明进行编辑：SecurityToken Service Configuration (PicketLinkSTS Element)

完成所有步骤以启用基于 SAML 令牌的身份验证（正常工作）后，您必须将以下过滤器添加到GateIn（如SAML2LogoutFilter）：

<filter>
   <filter-name>PicketlinkSTSIntegrationFilter</filter-name>
   <filter-class>org.gatein.sso.agent.filter.PicketlinkSTSIntegrationFilter</filter-class>
</filter>

<filter-mapping>
   <filter-name>PicketlinkSTSIntegrationFilter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>

此过滤器将org.picketlink.identity.federation.core.wstrust.SamlCredential设置为org.jboss.security.client.SecurityClient，可以将身份验证从 SAML2票证传播到基础 EJB 或 WS调用< / strong>即可。

另见：

• SAML EJB Integration with PicketLink STS
• SAML WS Integration with PicketLink STS

我希望这有帮助。