红帽全球峰会2.8. 对 JBoss EAP 以前的版本的更改
在 JBoss EAP 7 中添加 Undertow 服务器后,对 SAML 单点登录的配置方式进行了一些更改。在 JBoss EAP 7 上设置 IDP 和 SP 时,以及迁移在先前版本的 JBoss EAP 上运行的 IDP 和 SP 时,您必须考虑这些更改。
-
不再使用 valves,其参数现在使用
context-param进行配置。 - 依赖项声明已更改。
-
SAML 验证器现在要求在
web.xml 中配置 FORM身份验证。 - 动态帐户选择器配置已更改。
2.8.1. valve 和 Valve 配置更改
在 JBoss EAP 7 中,不再使用 valves,但 Undertow 处理程序提供了类似的功能。最终,您不再需要在 jboss-web.xml 中添加 valve 声明。有关此变化以及它对迁移的总体影响的详细信息,请参阅 JBoss EAP 迁移指南的迁移 https://access.redhat.com/documentation/zh-cn/red_hat_jboss_enterprise_application_platform/7.4/html-single/migration_guide/#migrate_custom_application_valves 自定义应用程序变量部分。
jboss-web.xml 中仍然配置其他配置,如指定安全域。
由于不再使用 valves,现在在 web.xml 中使用 <context-param> 来配置以下项目。
配置供应商
<context-param>
<param-name>org.picketlink.federation.saml.CONFIG_PROVIDER</param-name>
<param-value>MyConfigurationProvider</param-value>
</context-param>Audit Helper
<context-param>
<param-name>org.picketlink.federation.saml.AUDIT_HELPER</param-name>
<param-value>MyAuditHelper</param-value>
</context-param>配置刷新间隔
<context-param>
<param-name>org.picketlink.federation.saml.REFRESH_CONFIG_TIMER_INTERVAL</param-name>
<param-value>1000</param-value>
</context-param>字符编码
<context-param>
<param-name>org.picketlink.federation.saml.CHARACTER_ENCODING</param-name>
<param-value>UTF-8</param-value>
</context-param>将用户主体传递给属性管理器
<context-param>
<param-name>org.picketlink.federation.saml.PASS_USER_PRINCIPAL_TO_ATTRIBUTE_MANAGER</param-name>
<param-value>true</param-value>
</context-param>为 picketlink.xml 的自定义位置
<context-param>
<param-name>CONFIG_FILE</param-name>
<param-value>/path/to/picketlink.xml</param-value>
</context-param>2.8.2. 依赖项变化
与之前的 JBoss EAP 版本一样,您仍需要使用 jboss-deployment-structure.xml 文件声明正确的依赖项,但现在您将需要在模块 中包含 services="import"。在之前的 JBoss EAP 版本中,您已声明过同样的依赖项,但会声明一个 valve 来安装 SAML 身份验证器和排除 的服务="import"。随着 JBoss EAP 7 中 Undertow 的引入,您现在使用 services="import" 来安装 SAML 身份验证器。
使用 jboss-deployment-structure.xml 进行 Declare 依赖项
<jboss-deployment-structure>
<deployment>
<dependencies>
<module name="org.picketlink" services="import"/>
</dependencies>
</deployment>
</jboss>2.8.3. 验证器更改
SAML 身份验证器扩展了 JBoss EAP 中的 FORM 身份验证器。要启用 SAML 身份验证器,您必须在 web.xml 中为 FORM 。
身份验证 定义 <login-config>
web.xml 文件示例
<web-app>
...
<login-config>
<auth-method>FORM</auth-method>
...
</login-config>
</web-app>2.8.4. 动态帐户 Chooser 更改
在之前的 JBoss EAP 版本中,使用传递到 valve 的参数来配置动态帐户选择器的某些部分。由于 JBoss EAP 7 中不再使用 valves,因此此配置已移到 picket link.xml 中包含的 Provider 元素中。有关这些配置选项的详情,请参阅 配置动态帐户 Chooser 部分。
以前版本的 JBoss EAP 还定义了 org.picketlink.identity.federation.bindings.tomcat.sp.AbstractAccountChooserValve.AccountIDPMapProvider 接口,它在创建自定义 IDPMapProvider 时实施。在 JBoss EAP 7 中,此接口不再存在,现在您必须实施 org.picketlink.identity.federation.web.config.IdentityURLConfigurationProvider 接口。此新界面上的合同相同。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}