如何在PHP中检索SAML2令牌以从WSO2获取OAuth令牌APIM

Question

我一直在寻找解决方案，但无法找到它。

这个问题直接关系到：

• https://docs.wso2.com/display/AM200/Exchanging+SAML2+Bearer+Tokens+with+OAuth2+-+SAML+Extension+Grant+Type
• https://github.com/simplesamlphp/simplesamlphp/issues/220

这是我想要执行的情景：

1. 身份验证使用SAML2的SP。用SimpleSamlPhp在PHP中编码。
2. 使用SAML2断言从API mgr端点获取OAuth令牌。 （使用URL http://api.gateway/token）
3. 使用OAuth令牌在API管理器的网关上调用API。

我被困在指令：拿到SAML2断言令牌。 我在哪里可以找到这个令牌？ 在SimpleSamlPhp中，我可以获取用户的属性或他们的ID，但是我找不到任何断言。

我砍死SSP得到最后断言，但不知道该怎么办。我期待一个单一的值（如一个令牌），但它是一个复杂的结构。上面的链接之一表示我不应该访问它！

什么我发送，编码到令牌URL？

---

编辑：添加一些样本。 我的断言XML（编辑）：

<?xml version="1.0" encoding="UTF-8"?> 
<saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" ID="okdjgbm...jdbh" IssueInstant="2016-11-28T09:49:45.808Z" Version="2.0"> 
    <saml2:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://g...p.com:9443/samlsso</saml2:Issuer> 
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
     <ds:SignedInfo> 
     <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> 
     <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /> 
     <ds:Reference URI="#okd...kejdbh"> 
      <ds:Transforms> 
       <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> 
       <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" /> 
      </ds:Transforms> 
      <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /> 
      <ds:DigestValue>RrGcR...cktFuH0=</ds:DigestValue> 
     </ds:Reference> 
     </ds:SignedInfo> 
     <ds:SignatureValue>b91j/k...Z7d4=</ds:SignatureValue> 
     <ds:KeyInfo> 
     <ds:X509Data> 
      <ds:X509Certificate>MIICNT...Wq8uHSCo=</ds:X509Certificate> 
     </ds:X509Data> 
     </ds:KeyInfo> 
    </ds:Signature> 
    <saml2:Subject> 
     <saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">toto@titi.com</saml2:NameID> 
     <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> 
     <saml2:SubjectConfirmationData InResponseTo="_80258326a1...cd4bbd" NotOnOrAfter="2016-11-28T09:54:45.807Z" Recipient="http://1.2.3.4/simplesamlphp/www/module.php/saml/sp/saml2-acs.php/wso2-sp" /> 
     </saml2:SubjectConfirmation> 
     <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> 
     <saml2:SubjectConfirmationData InResponseTo="_8025832...d4bbd" NotOnOrAfter="2016-11-28T09:54:45.807Z" Recipient="https://my.wso2.apim:8243/token" /> 
     </saml2:SubjectConfirmation> 
    </saml2:Subject> 
    <saml2:Conditions NotBefore="2016-11-28T09:49:45.808Z" NotOnOrAfter="2016-11-28T09:54:45.807Z"> 
     <saml2:AudienceRestriction> 
     <saml2:Audience>mytestapp</saml2:Audience> 
     <saml2:Audience>https://my.wso2.apim:8243/token</saml2:Audience> 
     </saml2:AudienceRestriction> 
    </saml2:Conditions> 
    <saml2:AuthnStatement AuthnInstant="2016-11-28T09:49:45.815Z" SessionIndex="1f5192...b591"> 
     <saml2:AuthnContext> 
     <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef> 
     </saml2:AuthnContext> 
    </saml2:AuthnStatement> 
    <saml2:AttributeStatement /> 
</saml2:Assertion> 

编码为base64-URL编码的XML：

PHNhbWwyO...dGlvbj4,

使用来自另一复制的方法SO张贴

function base64_url_encode($input) { 
return strtr(base64_encode($input), '+/=', '-_,'); 
} 

这是关于长20行（是的，最后有一个逗号）。

它不工作，我得到的JSON结果

{"error":"invalid_grant","error_description":"Provided Authorization Grant is invalid."} 

在痕迹：

TID: [0] [AM] [2016-11-29 11:04:50,297] DEBUG {org.wso2.carbon.identity.oauth2.token.handlers.grant.saml.SAML2BearerGrantHandler} - SAML Token Issuer verification failed or Issuer not registered {org.wso2.carbon.identity.oauth2.token.handlers.grant.saml.SAML2BearerGrantHandler} 
TID: [0] [AM] [2016-11-29 11:04:50,298] DEBUG {org.wso2.carbon.identity.oauth2.token.AccessTokenIssuer} - Invalid Grant provided by the client, id=fkJa...Ohoa, user-name=null to application=myapp-subscriber_test_PRODUCTION {org.wso2.carbon.identity.oauth2.token.AccessTokenIssuer} 
TID: [0] [AM] [2016-11-29 11:04:50,300] DEBUG {org.wso2.carbon.identity.oauth2.token.AccessTokenIssuer} - OAuth-Error-Code=invalid_grant client-id=fkJa...hoa grant-type=urn:ietf:params:oauth:grant-type:saml2-bearer scope=PRODUCTION {org.wso2.carbon.identity.oauth2.token.AccessTokenIssuer} 

我问周围的系统配置程序。对我来说，IDS，APIM和OAuth之间的链接缺少某些声明。 （我用google搜索了这个，并提出了一个stackoverflow交换来检查发布者id在断言，我做了，但我不能在那里发现任何错误）

感谢您的帮助，我会回来如果我有什么新东西。当然，如果我忽略了一些明显的东西！

Answer 1

我已经成功了，所以这里有一些迹象表明可能有同样问题的其他人。

1. 我砍死simpleSamlPhp，因为它们不提供SAML2断言（见https://github.com/simplesamlphp/simplesamlphp/issues/220）。我没有以很好的方式去做，因为我只是想让它工作。这是丑陋的，但它的工作原理。这是我砍，我把它放在SAML2-acs.php 125线：

   // ADDED to get SAML2 assertion in SP 
   if (array_key_exists('SAMLResponse', $_POST)) { 
       $attributes["samlresp"] = $_POST['SAMLResponse']; 
   } 
   

2. 在我的PHP应用程序，然后我用这个代码：

   $authdata_array= $as->getAuthDataArray(); 
   $postSaml2Assert = $authdata_array["Attributes"]["samlresp"]; 
   $msg = base64_decode($postSaml2Assert); 
   $document = new DOMDocument(); 
   $document->loadXML($msg); 
   $assertion = $document->getElementsByTagNameNS ("urn:oasis:names:tc:SAML:2.0:assertion", "Assertion")->item(0); 
   $saml2AssertionXml = $document->saveXML($assertion); 
   

3. 我编码断言Base64和URL编码。为此，我使用代码Passing base64 encoded strings in URL（感谢joeshmo！）

4. 在APIM /实体提供商/列表/ myIdS /编辑/联合验证器/ SAM2的Web SSO ... /身份提供实体ID我将值设置为预期的IDS端点，https://myids:9443/samlsso。 这解决了我的初始发行

5. 在SP配置

   （在IDS）我加OAuth令牌既是观众和收件人，看起来像https://myAPIM:9443/oauth2/token/。注意，既作为观众和收件人！

6. 因为我在调试，我已经格式化了XML断言，所以它没有工作，我遇到了这里详述的问题WSO2 Identity Server OAuth2 Bearer SAML Assertion，所以我只是删除格式并按原样使用XML字符串。 （我当然从上面删除这个错误）

7. 我有一个最后的错误很容易解决：在NotOnOrAfter国旗制造麻烦，因为当时获得SAML2断言，并用它来生成之间的延迟令牌。获得的经验：SAML2断言应该在登录后立即创建，而不是在调用API之前创建。

希望这可以帮助别人。感谢@Bhathiya的帮助！

Answer 2

当您使用SAML SSO登录，你得到它的Assertion一个SAML响应。您可以看到一个示例回复/断言here。您需要此断言才能获得OAuth2令牌。但是，它看起来像你的PHP框架没有直接向你提供SAML响应。这太糟糕了，因为你在这里需要它。

无论如何，既然你已经设法获得了，那么你现在要做的就是base64-URL对整个<Assertion>....</Assertion>标签进行编码并用OAuth2令牌请求发送。 Here is a nice online tool如果您需要手动尝试。