Lösungen

Seam basierte Anwendungen

Als Teil des Projekts “PicketLink” entwickelte Marcel Kolsteren, Seam Integration Lead, ein Modul für die einfache Integration Ihrer Seam Anwendungen in externe Indentity Provider. Das Modul unterstützt SAML und OpenID und wird mit einer out-of-the-box Konfiguration für SSOCircle ausgeliefert. Im Paket wird die Datei saml-entities.xml mitgeliefert, die bereits die Metadaten von SSOCircle, dem öffentlichen IDP beinhaltet. Mehr Information zum Modul und der Integration kann unter community.jboss.org nachgelesen werden.
Das Fedlet

Das Fedlet ist eine fertig konfigurierte Java Web Anwendung, die es ermöglicht einen SAML Service Provider im SSOCircle of Trust in nur wenigen Minuten aufzusetzen. Das SSOCircle Fedlet ist auf dem Download Service erhältlich.

Mit dem Fedlet ist es sehr einfach, Ihre Java Anwendung SAML-fähig zu machen. Hierzu müssen Sie nur das Fedlet in Ihren Authentifizierungsprozess eingliedern.
lightbulb.saml2.com – Ein Service Provider in “reinem” PHP

Lightbulb, eine OpenSSO Extension, ist eine Implementierung eines SAML 2.0 Service Providers, die nur in PHP geschrieben ist ( man benötigt jedoch OpenSSL ). Mit diesem Code ist es nicht nötig, eine zusätzliche PHP Extension in den Webserver zu installieren. Was ist der Vorteil ? Sie können das Script in Shared Hosting Umgebung mit PHP Unterstützung nutzen. Das heißt für Sie: Integration von SAML 2.0 in eine PHP Applikation ist somit wirklich einfach.

Schauen Sie sich die Demo an, die die Funktionsweise illustriert.

Anwendungsfall: Ein Service Provider mit seiner eigenen lokalen Nutzerdatenbank. Erstellen Sie Ihr eigenes lokales Nutzerkonto mit Passwort. Sie können sich dann lokal am Service Provider anmelden. Wenn Sie vom Single Sign On profitieren wollen, dann haben Sie die Möglichkeit, das lokale Nutzerkonto mit einem Konto bei SSOCircle zu koppeln. Dieser Prozess nennt man Föderation.
Die beiden verknüpften Konten müssen nicht die gleiche Nutzer ID haben. Beispielweise kann ein Konto “hans” bei dem IDP mit einem Konto “Meier” im Service Provider verknüpft werden. Nach einer erfolgreichen Verknüpfung können Sie sich per SSO am SP anmelden, wenn Sie sich zuvor bei SSOCircle authentifiziert haben. SSOCircle attestiert nun dem Service Provider Ihre Identität und bestätigt, daß Sie diejenige Person sind für die Sie sich ausgeben. Von diesem Zeitpunkt an benötigen Sie das lokale Passwort und die zugehörige User ID nicht mehr.

Laden Sie sich das Beispiel von unserem Download SP herunter und nutzen Sie es vorkonfguriert für Ihre WebSite. Sie benötigen dazu nur einen PHP 5 fähigen WebServer und eine MySQL Datenbank, die die Nutzerinformation hält. Das GZIP File ist nur 19KB groß. Das Archiv beinhaltet ein Konfigurationsfile in dem Sie nur 5 Parameter ändern müssen.
Ein einfaches CGI Script als Service Provider

Schauen Sie sich das einfache, in C geschriebene CGI Script an. Das Skript kann als Service Provider (SP) genutzt werden. In diesem Anwendungsfall benötigen Sie keinen lokalen Account. Der SP leitet Sie bei Anmeldung an SSOCircle, den IDP, weiter zur Authentifizierung. Anschliessen werden Sie vom IDP wieder zurück zum SP geschickt. Der SP zeigt nun direkt den Naming Identifier an, der eindeutig für den Nutzer und die Beziehung IDP-SP ist. Im Lightbulb Falle würde dieser Identifier genutzt werden, um einen lokalen Account zu identifizieren. Dies Identifizierung ist wiederum die oben beschrieben Koppelung zwischen unterschiedlichen Nutzerkonten.

Schauen Sie sich auch diesen Service Provider in Aktion an: cgi-service-provider.saml2.com. Laden Sie den SAML 2.0 Sample Service Provider und starten Sie Ihren ersten föderierten Service.

Sie müssen die unten aufgelisteten Schritte durchführen, wenn Sie Ihren eigenen Service Provider starten wollen: Als Voraussetzung benötigen Sie einen WebServer ( Apache, Sun … ), der für CGI-Skripte konfiguriert ist. Das Beispiel ist in C für Linux geschrieben und beinhaltet alle benötigten Bibliotheken.

  • Registrien Sie Ihr Nutzerkonto bei SSOCircle
  • Holen Sie sich das Tar-Archiv auf Download Service Provider
  • entpacken Sie die Dateien unter Ihrem cgi-bin Verzeichnis auf dem WebServer: tar xvzf
  • Modifizieren Sie die Datei zxid.conf im cgi-bin Verzeichnis: URL=
  • Laden Sie sich Ihre Metadaten von der URL URL http://
  • Importieren Sie die Metadaten in den SSOCircle of trust
  • Starten Sie mit der URL:
  • Für Ungeduldige: Falls Sie die oben genannten Schritte nicht durchführen wollen, fügen Sie einfach myserviceprovider.saml2.com in Ihrem Host-File oder DNS Server hinzu. Das erspart die Schritte zum Import der Metadaten.

*deu*