projects / cascardo / ipsilon.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Create database upgrade framework
[cascardo/ipsilon.git] / ipsilon / providers / saml2idp.py
1 # Copyright (C) 2014 Ipsilon project Contributors, for license see COPYING
2
3 from ipsilon.providers.common import ProviderBase, ProviderPageBase, \
4     ProviderInstaller
5 from ipsilon.providers.saml2.auth import AuthenticateRequest
6 from ipsilon.providers.saml2.logout import LogoutRequest
7 from ipsilon.providers.saml2.admin import Saml2AdminPage
8 from ipsilon.providers.saml2.rest import Saml2RestBase
9 from ipsilon.providers.saml2.provider import IdentityProvider
10 from ipsilon.providers.saml2.sessions import SAMLSessionFactory
11 from ipsilon.tools.certs import Certificate
12 from ipsilon.tools import saml2metadata as metadata
13 from ipsilon.tools import files
14 from ipsilon.util.http import require_content_type
15 from ipsilon.util.constants import SOAP_MEDIA_TYPE, XML_MEDIA_TYPE
16 from ipsilon.util.user import UserSession
17 from ipsilon.util.plugin import PluginObject
18 from ipsilon.util import config as pconfig
19 import cherrypy
20 from datetime import timedelta
21 import lasso
22 import os
23 import time
24 import uuid
25
26 cherrypy.tools.require_content_type = cherrypy.Tool('before_request_body',
27                                                     require_content_type)
28
29
30 def is_lasso_ecp_enabled():
31     # Full ECP support appeared in lasso version 2.4.2
32     return lasso.checkVersion(2, 4, 2, lasso.CHECK_VERSION_NUMERIC)
33
34
35 class SSO_SOAP(AuthenticateRequest):
36
37     def __init__(self, *args, **kwargs):
38         super(SSO_SOAP, self).__init__(*args, **kwargs)
39         self.binding = metadata.SAML2_SERVICE_MAP['sso-soap'][1]
40
41     @cherrypy.tools.require_content_type(
42         required=[SOAP_MEDIA_TYPE, XML_MEDIA_TYPE])
43     @cherrypy.tools.accept(media=[SOAP_MEDIA_TYPE, XML_MEDIA_TYPE])
44     @cherrypy.tools.response_headers(
45         headers=[('Content-Type', 'SOAP_MEDIA_TYPE')])
46     def POST(self, *args, **kwargs):
47         self.debug("SSO_SOAP.POST() begin")
48
49         self.debug("SSO_SOAP transaction provider=%s id=%s" %
50                    (self.trans.provider, self.trans.transaction_id))
51
52         us = UserSession()
53         us.remote_login()
54         user = us.get_user()
55         self.debug("SSO_SOAP user=%s" % (user.name))
56
57         if not user:
58             raise cherrypy.HTTPError(403, 'No user specified for SSO_SOAP')
59
60         soap_xml_doc = cherrypy.request.rfile.read()
61         soap_xml_doc = soap_xml_doc.strip()
62         self.debug("SSO_SOAP soap_xml_doc=%s" % soap_xml_doc)
63         login = self.saml2login(soap_xml_doc)
64
65         return self.auth(login)
66
67
68 class Redirect(AuthenticateRequest):
69
70     def __init__(self, *args, **kwargs):
71         super(Redirect, self).__init__(*args, **kwargs)
72         self.binding = metadata.SAML2_SERVICE_MAP['sso-redirect'][1]
73
74     def GET(self, *args, **kwargs):
75
76         query = cherrypy.request.query_string
77
78         login = self.saml2login(query)
79         return self.auth(login)
80
81
82 class POSTAuth(AuthenticateRequest):
83
84     def __init__(self, *args, **kwargs):
85         super(POSTAuth, self).__init__(*args, **kwargs)
86         self.binding = metadata.SAML2_SERVICE_MAP['sso-post'][1]
87
88     def POST(self, *args, **kwargs):
89
90         request = kwargs.get(lasso.SAML2_FIELD_REQUEST)
91         relaystate = kwargs.get(lasso.SAML2_FIELD_RELAYSTATE)
92
93         login = self.saml2login(request)
94         login.set_msgRelayState(relaystate)
95         return self.auth(login)
96
97
98 class Continue(AuthenticateRequest):
99
100     def GET(self, *args, **kwargs):
101
102         session = UserSession()
103         user = session.get_user()
104         transdata = self.trans.retrieve()
105         self.stage = transdata['saml2_stage']
106
107         if user.is_anonymous:
108             self.debug("User is marked anonymous?!")
109             # TODO: Return to SP with auth failed error
110             raise cherrypy.HTTPError(401)
111
112         self.debug('Continue auth for %s' % user.name)
113
114         if 'saml2_request' not in transdata:
115             self.debug("Couldn't find Request dump?!")
116             # TODO: Return to SP with auth failed error
117             raise cherrypy.HTTPError(400)
118         dump = transdata['saml2_request']
119
120         try:
121             login = self.cfg.idp.get_login_handler(dump)
122         except Exception, e:  # pylint: disable=broad-except
123             self.debug('Failed to load status from dump: %r' % e)
124
125         if not login:
126             self.debug("Empty Request dump?!")
127             # TODO: Return to SP with auth failed error
128             raise cherrypy.HTTPError(400)
129
130         return self.auth(login)
131
132
133 class Logout(LogoutRequest):
134
135     def GET(self, *args, **kwargs):
136         query = cherrypy.request.query_string
137
138         relaystate = kwargs.get(lasso.SAML2_FIELD_RELAYSTATE)
139         response = kwargs.get(lasso.SAML2_FIELD_RESPONSE)
140
141         return self.logout(query,
142                            relaystate=relaystate,
143                            samlresponse=response)
144
145
146 class SSO(ProviderPageBase):
147
148     def __init__(self, *args, **kwargs):
149         super(SSO, self).__init__(*args, **kwargs)
150         self.Redirect = Redirect(*args, **kwargs)
151         self.POST = POSTAuth(*args, **kwargs)
152         self.Continue = Continue(*args, **kwargs)
153         self.SOAP = SSO_SOAP(*args, **kwargs)
154
155
156 class SLO(ProviderPageBase):
157
158     def __init__(self, *args, **kwargs):
159         super(SLO, self).__init__(*args, **kwargs)
160         self.debug('SLO init')
161         self.Redirect = Logout(*args, **kwargs)
162
163
164 # one week
165 METADATA_RENEW_INTERVAL = 60 * 60 * 24 * 7
166 # five years (approximately)
167 METADATA_DEFAULT_VALIDITY_PERIOD = 365 * 5
168
169
170 class Metadata(ProviderPageBase):
171     def GET(self, *args, **kwargs):
172
173         body = self._get_metadata()
174         cherrypy.response.headers["Content-Type"] = XML_MEDIA_TYPE
175         cherrypy.response.headers["Content-Disposition"] = \
176             'attachment; filename="metadata.xml"'
177         return body
178
179     def _get_metadata(self):
180         if os.path.isfile(self.cfg.idp_metadata_file):
181             s = os.stat(self.cfg.idp_metadata_file)
182             if s.st_mtime > time.time() - METADATA_RENEW_INTERVAL:
183                 with open(self.cfg.idp_metadata_file) as m:
184                     return m.read()
185
186         # Otherwise generate and save
187         idp_cert = Certificate()
188         idp_cert.import_cert(self.cfg.idp_certificate_file,
189                              self.cfg.idp_key_file)
190
191         validity = int(self.cfg.idp_metadata_validity)
192         meta = IdpMetadataGenerator(self.instance_base_url(), idp_cert,
193                                     timedelta(validity))
194         body = meta.output()
195         with open(self.cfg.idp_metadata_file, 'w+') as m:
196             m.write(body)
197         return body
198
199
200 class SAML2(ProviderPageBase):
201
202     def __init__(self, *args, **kwargs):
203         super(SAML2, self).__init__(*args, **kwargs)
204         self.metadata = Metadata(*args, **kwargs)
205         self.SSO = SSO(*args, **kwargs)
206         self.SLO = SLO(*args, **kwargs)
207
208
209 class IdpProvider(ProviderBase):
210
211     def __init__(self, *pargs):
212         super(IdpProvider, self).__init__('saml2', 'saml2', *pargs)
213         self.admin = None
214         self.rest = None
215         self.page = None
216         self.idp = None
217         self.sessionfactory = None
218         self.description = """
219 Provides SAML 2.0 authentication infrastructure. """
220
221         self.new_config(
222             self.name,
223             pconfig.String(
224                 'idp storage path',
225                 'Path to data storage accessible by the IdP.',
226                 '/var/lib/ipsilon/saml2'),
227             pconfig.String(
228                 'idp metadata file',
229                 'The IdP Metadata file generated at install time.',
230                 'metadata.xml'),
231             pconfig.String(
232                 'idp metadata validity',
233                 'The IdP Metadata validity period (in days) to use when '
234                 'generating new metadata.',
235                 METADATA_DEFAULT_VALIDITY_PERIOD),
236             pconfig.String(
237                 'idp certificate file',
238                 'The IdP PEM Certificate generated at install time.',
239                 'certificate.pem'),
240             pconfig.String(
241                 'idp key file',
242                 'The IdP Certificate Key generated at install time.',
243                 'certificate.key'),
244             pconfig.String(
245                 'idp nameid salt',
246                 'The salt used for persistent Name IDs.',
247                 None),
248             pconfig.Condition(
249                 'allow self registration',
250                 'Allow authenticated users to register applications.',
251                 True),
252             pconfig.Choice(
253                 'default allowed nameids',
254                 'Default Allowed NameIDs for Service Providers.',
255                 metadata.SAML2_NAMEID_MAP.keys(),
256                 ['unspecified', 'persistent', 'transient', 'email',
257                  'kerberos', 'x509']),
258             pconfig.Pick(
259                 'default nameid',
260                 'Default NameID used by Service Providers.',
261                 metadata.SAML2_NAMEID_MAP.keys(),
262                 'unspecified'),
263             pconfig.String(
264                 'default email domain',
265                 'Used for users missing the email property.',
266                 'example.com'),
267             pconfig.MappingList(
268                 'default attribute mapping',
269                 'Defines how to map attributes before returning them to SPs',
270                 [['*', '*']]),
271             pconfig.ComplexList(
272                 'default allowed attributes',
273                 'Defines a list of allowed attributes, applied after mapping',
274                 ['*']),
275             pconfig.String(
276                 'session database url',
277                 'Database URL for SAML2 sessions',
278                 'saml2.sessions.db.sqlite'),
279         )
280         if cherrypy.config.get('debug', False):
281             import logging
282             import sys
283             logger = logging.getLogger('lasso')
284             lh = logging.StreamHandler(sys.stderr)
285             logger.addHandler(lh)
286             logger.setLevel(logging.DEBUG)
287
288     @property
289     def allow_self_registration(self):
290         return self.get_config_value('allow self registration')
291
292     @property
293     def idp_storage_path(self):
294         return self.get_config_value('idp storage path')
295
296     @property
297     def idp_metadata_file(self):
298         return os.path.join(self.idp_storage_path,
299                             self.get_config_value('idp metadata file'))
300
301     @property
302     def idp_metadata_validity(self):
303         return self.get_config_value('idp metadata validity')
304
305     @property
306     def idp_certificate_file(self):
307         return os.path.join(self.idp_storage_path,
308                             self.get_config_value('idp certificate file'))
309
310     @property
311     def idp_key_file(self):
312         return os.path.join(self.idp_storage_path,
313                             self.get_config_value('idp key file'))
314
315     @property
316     def idp_nameid_salt(self):
317         return self.get_config_value('idp nameid salt')
318
319     @property
320     def default_allowed_nameids(self):
321         return self.get_config_value('default allowed nameids')
322
323     @property
324     def default_nameid(self):
325         return self.get_config_value('default nameid')
326
327     @property
328     def default_email_domain(self):
329         return self.get_config_value('default email domain')
330
331     @property
332     def default_attribute_mapping(self):
333         return self.get_config_value('default attribute mapping')
334
335     @property
336     def default_allowed_attributes(self):
337         return self.get_config_value('default allowed attributes')
338
339     def get_tree(self, site):
340         self.page = SAML2(site, self)
341         self.admin = Saml2AdminPage(site, self)
342         self.rest = Saml2RestBase(site, self)
343         return self.page
344
345     def used_datastores(self):
346         # pylint: disable=protected-access
347         return [self.sessionfactory._ss]
348
349     def init_idp(self):
350         idp = None
351         self.sessionfactory = SAMLSessionFactory(
352             database_url=self.get_config_value('session database url')
353         )
354         # Schedule cleanups
355         # pylint: disable=protected-access
356         bt = cherrypy.process.plugins.BackgroundTask(
357             60, self.sessionfactory._ss.remove_expired_sessions
358         )
359         bt.start()
360         # Init IDP data
361         try:
362             idp = IdentityProvider(self,
363                                    sessionfactory=self.sessionfactory)
364         except Exception, e:  # pylint: disable=broad-except
365             self.debug('Failed to init SAML2 provider: %r' % e)
366             return None
367
368         self._root.logout.add_handler(self.name, self.idp_initiated_logout)
369
370         # Import all known applications
371         data = self.get_data()
372         for idval in data:
373             sp = data[idval]
374             if 'type' not in sp or sp['type'] != 'SP':
375                 continue
376             if 'name' not in sp or 'metadata' not in sp:
377                 continue
378             try:
379                 idp.add_provider(sp)
380             except Exception, e:  # pylint: disable=broad-except
381                 self.debug('Failed to add SP %s: %r' % (sp['name'], e))
382
383         return idp
384
385     def on_enable(self):
386         super(IdpProvider, self).on_enable()
387         self.idp = self.init_idp()
388         if hasattr(self, 'admin'):
389             if self.admin:
390                 self.admin.add_sps()
391
392     def idp_initiated_logout(self):
393         """
394         Logout all SP sessions when the logout comes from the IdP.
395
396         For the current user only.
397
398         Only use HTTP-Redirect to start the logout. This is guaranteed
399         to be supported in SAML 2.
400         """
401         self.debug("IdP-initiated SAML2 logout")
402         us = UserSession()
403         user = us.get_user()
404
405         saml_sessions = self.sessionfactory
406         # pylint: disable=unused-variable
407         (mech, session) = saml_sessions.get_next_logout(
408             logout_mechs=[lasso.SAML2_METADATA_BINDING_REDIRECT])
409         if session is None:
410             return
411
412         logout = self.idp.get_logout_handler()
413         logout.setSessionFromDump(session.login_session)
414         logout.initRequest(session.provider_id)
415         try:
416             logout.buildRequestMsg()
417         except lasso.Error, e:
418             self.error('failure to build logout request msg: %s' % e)
419             raise cherrypy.HTTPRedirect(400, 'Failed to log out user: %s '
420                                         % e)
421
422         # Add a fake session to indicate where the user should
423         # be redirected to when all SP's are logged out.
424         idpurl = self._root.instance_base_url()
425         session_id = "_" + uuid.uuid4().hex.upper()
426         saml_sessions.add_session(session_id, idpurl, user.name, "", "",
427                                   [lasso.SAML2_METADATA_BINDING_REDIRECT])
428         init_session = saml_sessions.get_session_by_id(session_id)
429         saml_sessions.start_logout(init_session, relaystate=idpurl)
430
431         # Add the logout request id we just created to the session to be
432         # logged out so that when it responds we can find the right
433         # session.
434         session.set_logoutstate(request_id=logout.request.id)
435         saml_sessions.start_logout(session, initial=False)
436
437         self.debug('Sending initial logout request to %s' % logout.msgUrl)
438         raise cherrypy.HTTPRedirect(logout.msgUrl)
439
440
441 class IdpMetadataGenerator(object):
442
443     def __init__(self, url, idp_cert, expiration=None):
444         self.meta = metadata.Metadata(metadata.IDP_ROLE, expiration)
445         self.meta.set_entity_id('%s/saml2/metadata' % url)
446         self.meta.add_certs(idp_cert, idp_cert)
447         self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-post'],
448                               '%s/saml2/SSO/POST' % url)
449         self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-redirect'],
450                               '%s/saml2/SSO/Redirect' % url)
451         if is_lasso_ecp_enabled():
452             self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-soap'],
453                                   '%s/saml2/SSO/SOAP' % url)
454         self.meta.add_service(metadata.SAML2_SERVICE_MAP['logout-redirect'],
455                               '%s/saml2/SLO/Redirect' % url)
456         self.meta.add_allowed_name_format(
457             lasso.SAML2_NAME_IDENTIFIER_FORMAT_PERSISTENT)
458         self.meta.add_allowed_name_format(
459             lasso.SAML2_NAME_IDENTIFIER_FORMAT_TRANSIENT)
460         self.meta.add_allowed_name_format(
461             lasso.SAML2_NAME_IDENTIFIER_FORMAT_EMAIL)
462
463     def output(self, path=None):
464         return self.meta.output(path)
465
466
467 class Installer(ProviderInstaller):
468
469     def __init__(self, *pargs):
470         super(Installer, self).__init__()
471         self.name = 'saml2'
472         self.pargs = pargs
473
474     def install_args(self, group):
475         group.add_argument('--saml2', choices=['yes', 'no'], default='yes',
476                            help='Configure SAML2 Provider')
477         group.add_argument('--saml2-metadata-validity',
478                            default=METADATA_DEFAULT_VALIDITY_PERIOD,
479                            help=('Metadata validity period in days '
480                                  '(default - %d)' %
481                                  METADATA_DEFAULT_VALIDITY_PERIOD))
482         group.add_argument('--saml2-session-dburl',
483                            help='session database URL')
484
485     def configure(self, opts, changes):
486         if opts['saml2'] != 'yes':
487             return
488
489         # Check storage path is present or create it
490         path = os.path.join(opts['data_dir'], 'saml2')
491         if not os.path.exists(path):
492             os.makedirs(path, 0700)
493
494         # Use the same cert for signing and ecnryption for now
495         cert = Certificate(path)
496         cert.generate('idp', opts['hostname'])
497
498         # Generate Idp Metadata
499         proto = 'https'
500         if opts['secure'].lower() == 'no':
501             proto = 'http'
502         url = '%s://%s/%s' % (proto, opts['hostname'], opts['instance'])
503         validity = int(opts['saml2_metadata_validity'])
504         meta = IdpMetadataGenerator(url, cert,
505                                     timedelta(validity))
506         if 'gssapi' in opts and opts['gssapi'] == 'yes':
507             meta.meta.add_allowed_name_format(
508                 lasso.SAML2_NAME_IDENTIFIER_FORMAT_KERBEROS)
509
510         meta.output(os.path.join(path, 'metadata.xml'))
511
512         # Add configuration data to database
513         po = PluginObject(*self.pargs)
514         po.name = 'saml2'
515         po.wipe_data()
516         po.wipe_config_values()
517         config = {'idp storage path': path,
518                   'idp metadata file': 'metadata.xml',
519                   'idp certificate file': cert.cert,
520                   'idp key file': cert.key,
521                   'idp nameid salt': uuid.uuid4().hex,
522                   'idp metadata validity': opts['saml2_metadata_validity'],
523                   'session database url': opts['saml2_session_dburl'] or
524                   opts['database_url'] % {
525                       'datadir': opts['data_dir'],
526                       'dbname': 'saml2.sessions.db'}}
527         po.save_plugin_config(config)
528
529         # Update global config to add login plugin
530         po.is_enabled = True
531         po.save_enabled_state()
532
533         # Fixup permissions so only the ipsilon user can read these files
534         files.fix_user_dirs(path, opts['system_user'])
Unnamed repository; edit this file 'description' to name the repository.