ITfoxtec Identity SAML 2.0

Le package open-source ITfoxtec Identity Saml2 ajoute la prise en charge SAML-P pour Identity Provider (IdP) et Relying Party (RP) en complément de la fonctionnalité SAML 2.0 implémentée en .NET.

Le package ITfoxtec Identity Saml2 implémente les parties les plus importantes du standard SAML-P ainsi que certaines fonctionnalités optionnelles. La signature et la validation des messages ainsi que le déchiffrement sont pris en charge. Le package supporte la connexion, la déconnexion, le single logout et les métadonnées SAML 2.0. Les connexions SP Initiated et IdP Initiated sont prises en charge.

Le nom de la société ITfoxtec a changé pour FoxIDs, mais les composants conservent pour l’instant le nom ITfoxtec dans le nom du composant.

Environnements testés

Le package ITfoxtec Identity Saml2 est testé pour la conformité avec Microsoft Entra ID (Azure AD), AD FS, Azure AD B2C, le NemLog-in3 danois (MitID), le Context Handler danois (appelé en danois Fælleskommunal Adgangsstyring) et de nombreux autres IdP et RP.

ASP.NET MVC et ASP.NET MVC Core sont pris en charge par les packages ITfoxtec Identity SAML 2.0 MVC et MVC Core qui aident à intégrer le package ITfoxtec SAML 2.0 dans une application MVC ou MVC Core.

Versions .NET prises en charge

.NET 10.0 .NET 9.0 .NET 8.0 .NET 7.0 .NET 6.0 .NET Standard 2.1 .NET Framework 4.6.2 .NET Framework 4.8

Bindings pris en charge

  • Redirect Binding
  • Post Binding
  • Artifact Binding

Les bindings peuvent être utilisés au besoin pour :

  • Authn Request
  • Authn Response (SAML 2.0 Response)
  • Logout Request
  • Logout Response

Algorithmes de signature

SHA1/SHA256/SHA384/SHA512 sont pris en charge pour la signature des messages.

  • SHA1http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • SHA256http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
  • SHA384http://www.w3.org/2001/04/xmldsig-more#rsa-sha384
  • SHA512http://www.w3.org/2001/04/xmldsig-more#rsa-sha512

Quand FoxIDs est pertinent

Utilisez la bibliothèque open source lorsque vous avez besoin de SAML 2.0 dans votre propre application .NET. FoxIDs est pertinent lorsque vous avez besoin d'une plateforme d'identité complète autour de cela, y compris un pont entre SAML 2.0 et OpenID Connect, ainsi qu'un support et des conseils professionnels.

  • Faire le pont entre SAML 2.0 et OpenID Connect
  • Exécutez dans FoxIDs Cloud, self-hosted ou hybrid
  • Obtenez de l'aide pour la migration, l'architecture et le support technique payant
Documentation du pont SAML 2.0 Parler à un expert Commencez gratuitement

Vous pouvez utiliser l’outil SAML 2.0 pour décoder les jetons et créer des certificats auto-signés avec l’outil de certificats.

Code

Le code présenté n’est qu’une sélection du code d’exemple sur GitHub.

Le package ITfoxtec Identity Saml2 est intégré dans une application ASP.NET MVC Core Relying Party (RP) via la configuration dans Startup et l’ajout d’un Auth Controller avec les quatre méthodes suivantes. Le binding présenté peut être modifié selon les besoins.

Il est également possible de définir des paramètres optionnels sur Saml2AuthnRequest et Saml2LogoutRequest. Sur Saml2AuthnRequest, par exemple, ForceAuthn est pris en charge, ce qui force l’utilisateur à saisir ses identifiants même si un contexte SSO existe déjà sur le Security Token Service (STS) / Identity Provider (IdP).


Ajouter la configuration à la méthode ConfigureServices dans Startup

Configuration à l’aide des métadonnées IdP. 
services.Configure<Saml2Configuration>(Configuration.GetSection("Saml2"));
services.Configure<Saml2Configuration>(saml2Configuration =>
{
    saml2Configuration.SigningCertificate = CertificateUtil.Load(AppEnvironment.MapToPhysicalFilePath(
        Configuration["Saml2:SigningCertificateFile"]), Configuration["Saml2:SigningCertificatePassword"]);
    saml2Configuration.AllowedAudienceUris.Add(saml2Configuration.Issuer);

    var entityDescriptor = new EntityDescriptor();
    entityDescriptor.ReadIdPSsoDescriptorFromUrl(new Uri(Configuration["Saml2:IdPMetadata"]));
    if (entityDescriptor.IdPSsoDescriptor != null)
    {
        saml2Configuration.SingleSignOnDestination = entityDescriptor.IdPSsoDescriptor.SingleSignOnServices.First().Location;
        saml2Configuration.SingleLogoutDestination = entityDescriptor.IdPSsoDescriptor.SingleLogoutServices.First().Location;
        saml2Configuration.SignatureValidationCertificates.AddRange(entityDescriptor.IdPSsoDescriptor.SigningCertificates);
    }
    else
    {
        throw new Exception("IdPSsoDescriptor not loaded from metadata.");
    }
});
services.AddSaml2();

Configuration sans métadonnées. 
services.Configure<Saml2Configuration>(Configuration.GetSection("Saml2"));
services.Configure<Saml2Configuration>(saml2Configuration =>
{
    saml2Configuration.SigningCertificate = CertificateUtil.Load(AppEnvironment.MapToPhysicalFilePath(
        Configuration["Saml2:SigningCertificateFile"]), Configuration["Saml2:SigningCertificatePassword"]);
    saml2Configuration.AllowedAudienceUris.Add(saml2Configuration.Issuer);

    saml2Configuration.SignatureValidationCertificates.Add(CertificateUtil.Load(AppEnvironment.MapToPhysicalFilePath(
        Configuration["Saml2:SignatureValidationCertificateFile"])));
});
services.AddSaml2();

Méthode de connexion dans le Auth Controller

[Route("Login")]
public IActionResult Login(string returnUrl = null)
{
    var binding = new Saml2RedirectBinding();
    binding.SetRelayStateQuery(new Dictionary<string, string> 
        { { relayStateReturnUrl, returnUrl ?? Url.Content("~/") } });

    return binding.Bind(new Saml2AuthnRequest(config)).ToActionResult();
}

Méthode AssertionConsumerService dans le Auth Controller

Après une connexion réussie ou échouée, la méthode ACS reçoit la réponse. 
[Route("AssertionConsumerService")]
public async Task<IActionResult> AssertionConsumerService()
{       
    var httpRequest = Request.ToGenericHttpRequest(validate: true);
    var saml2AuthnResponse = new Saml2AuthnResponse(config);

    httpRequest.Binding.Unbind(httpRequest, saml2AuthnResponse);
    await saml2AuthnResponse.CreateSession(HttpContext, 
        ClaimsTransform: (claimsPrincipal) => ClaimsTransform.Transform(claimsPrincipal));

    var returnUrl = httpRequest.Binding.GetRelayStateQuery()[relayStateReturnUrl];
    return Redirect(string.IsNullOrWhiteSpace(returnUrl) ? Url.Content("~/") : returnUrl);
}

Méthode de déconnexion dans le Auth Controller

[HttpPost("Logout")]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Logout()
{
    if (!User.Identity.IsAuthenticated)
    {
        return Redirect(Url.Content("~/"));
    }

    var binding = new Saml2PostBinding();
    var saml2LogoutRequest = await new Saml2LogoutRequest(config, User).DeleteSession(HttpContext);
    return binding.Bind(saml2LogoutRequest).ToActionResult();
}

Méthode LoggedOut dans le Auth Controller

Après une déconnexion réussie ou échouée, la méthode logged out reçoit la réponse. 
[Route("LoggedOut")]
public IActionResult LoggedOut()
{
    var httpRequest = Request.ToGenericHttpRequest(validate: true);
    httpRequest.Binding.Unbind(httpRequest, new Saml2LogoutResponse(config));

    return Redirect(Url.Content("~/"));
}

Méthode SingleLogout dans le Auth Controller

Reçoit une requête Single Logout et envoie une réponse. 
[Route("SingleLogout")]
public async Task<IActionResult> SingleLogout()
{
    Saml2StatusCodes status;
    var httpRequest = Request.ToGenericHttpRequest(validate: true);
    var logoutRequest = new Saml2LogoutRequest(config, User);
    try
    {
        httpRequest.Binding.Unbind(httpRequest, logoutRequest);
        status = Saml2StatusCodes.Success;
        await logoutRequest.DeleteSession(HttpContext);
    }
    catch (Exception exc)
    {
        // log exception
        Debug.WriteLine("SingleLogout error: " + exc.ToString());
        status = Saml2StatusCodes.RequestDenied;
    }

    var responseBinding = new Saml2PostBinding();
    responseBinding.RelayState = httpRequest.Binding.RelayState;
    var saml2LogoutResponse = new Saml2LogoutResponse(config)
    {
        InResponseToAsString = logoutRequest.IdAsString,
        Status = status,
    };
    return responseBinding.Bind(saml2LogoutResponse).ToActionResult();
}
Votre confidentialité

Votre confidentialité

Nous utilisons des cookies pour améliorer votre expérience sur nos sites. Cliquez sur « Accepter tous les cookies » pour accepter l'utilisation des cookies. Pour refuser les cookies non essentiels, cliquez sur « Cookies nécessaires uniquement ».

Consultez notre politique de confidentialité pour en savoir plus