Foro de elhacker.net

Buenas gente,

Estoy un poco perdido en el tema de SAML y necesito que me iluminéis :(

Supongamos que tengo un método de una clase al cual le llega un String y me gustaría mandar este String a un IdP para que me diga si es correcto o no sin más. Simplemente tendría que configurar la parte SP para enviar este String mediante SAML a la URL del IdP....pues bien, estoy leyendo miles de cosas y no me queda muy claro el tema xD

He encontrado este código.

import java.io.StringReader;
import java.text.SimpleDateFormat;
import java.util.*;
import javax.xml.parsers.*;
import org.w3c.dom.*;
import org.xml.sax.InputSource;
 
public class Example2 {
	private static final String reqMsg =
		"<samlp:AttributeQuery " +
		" xmlns:samlp='urn:oasis:names:tc:SAML:2.0:protocol' " +
		" ID='%%ID%%' IssueInstant='%%ISSUEINST%%' Version='2.0'>" +
		" <saml:Issuer xmlns:saml='urn:oasis:names:tc:SAML:2.0:assertion'>"
		+
		"%%ISSUER%%" +
		" </saml:Issuer>" +
		" <saml:Subject xmlns:saml='urn:oasis:names:tc:SAML:2.0:assertion'>"
		+
		" <saml:NameID Format='urn:oasis:names:tc:SAML:2.0:nameid-format:
		unspecified'" +
		" xmlns:saml='urn:oasis:names:tc:SAML:2.0:assertion'> " +
		"%%SUBJECT%%" +
		" </saml:NameID>" +
		" </saml:Subject>" +
		"</samlp:AttributeQuery>";
 
	public static String getAttributeRequest(String id, String issuer, String subject) {
 
		Calendar cal = Calendar.getInstance(TimeZone.getTimeZone("US/Arizona"));
		SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd");
		SimpleDateFormat sdfTime = new SimpleDateFormat("HH:mm:ss");
		String res = Example2.reqMsg
		res = res.replaceAll("%%ID%%", id);
		res = res.replaceAll("%%ISSUEINST%%", sdf.format(cal.getTime()) +
		"T" +
		sdfTime.format(cal.getTime()) + "Z");
		res = res.replaceAll("%%ISSUER%%", issuer);
		res = res.replaceAll("%%SUBJECT%%", subject);
		return res;
	}
 
	public static Element getElementFromString(String s) throws Exception {
		DocumentBuilderFactory factory = DocumentBuilderFactory.
		newInstance();
		factory.setNamespaceAware(true);
		DocumentBuilder builder = factory.newDocumentBuilder();
		InputSource is = new InputSource(new StringReader(s));
		Document d = builder.parse(is);
		return d.getDocumentElement();
	}
	public static void main(String[] args) throws Exception {
		String id = UUID.randomUUID().toString();
		String issuer = "http://www.prise.es/uoc-book/example2";
		String subject = "cr01";
		String reqMsg = getAttributeRequest(id, issuer, subject);
		System.out.println(reqMsg);
		Element req = getElementFromString(reqMsg);
	}
}

Yo me había metido la librería OpenSAML2.6.0 para trastear pero bueno, en este código como lo pone todo en un String no hace falta (no sé cómo se haría más fácil).

Entiendo que en el ISSUER debo poner la URL de mi IdP, pero no me queda claro varias cosas:

• ¿Mi String dónde lo meto?
• ¿Dónde recojo la respuesta? Porque he leído que para recoger las respuestas se hacen mediante Assertion, pero no sé si tengo que configurar algo o puedo hacerlo todo en la misma clase

Seguramente esté diciendo alguna burrada o algo por el estilo y pido disculpas por ello, pero es que me está costando más de lo que pensaba.

Un saludo y gracias de antemano!

Buenas de nuevo,

Poco a poco me voy enterando (creo) y el código que he puesto antes casi que lo he cambiado entero xD

Me gustaría hacer un binding con SOAP y para ello me he creado un AuthnRequest en donde, entre otras cosas, le metido el destino (El IdP).

Ahora mismo tengo una dudilla, ¿Dónde meto mi String para pasarlo al IdP?

El código que tengo es, en resumen, un objeto AuthnRequest que paso a un objeto Element, el cual lo meto en un SOAPBody. El resultado de la llamada mediante SOAP lo recojo en un SOAPMessage.

Un saludo!