projects / cascardo / ipsilon.git / blob
? search:


590b638fe579f33a698cdaf40d45ec12cac66150
[cascardo/ipsilon.git] / ipsilon / providers / saml2idp.py
1 # Copyright (C) 2014 Ipsilon project Contributors, for license see COPYING
2
3 from ipsilon.providers.common import ProviderBase, ProviderPageBase, \
4     ProviderInstaller
5 from ipsilon.providers.saml2.auth import AuthenticateRequest
6 from ipsilon.providers.saml2.logout import LogoutRequest
7 from ipsilon.providers.saml2.admin import Saml2AdminPage
8 from ipsilon.providers.saml2.rest import Saml2RestBase
9 from ipsilon.providers.saml2.provider import IdentityProvider
10 from ipsilon.providers.saml2.sessions import SAMLSessionFactory
11 from ipsilon.tools.certs import Certificate
12 from ipsilon.tools import saml2metadata as metadata
13 from ipsilon.tools import files
14 from ipsilon.util.http import require_content_type
15 from ipsilon.util.constants import SOAP_MEDIA_TYPE, XML_MEDIA_TYPE
16 from ipsilon.util.user import UserSession
17 from ipsilon.util.plugin import PluginObject
18 from ipsilon.util import config as pconfig
19 import cherrypy
20 from datetime import timedelta
21 import lasso
22 import os
23 import time
24 import uuid
25
26 cherrypy.tools.require_content_type = cherrypy.Tool('before_request_body',
27                                                     require_content_type)
28
29
30 def is_lasso_ecp_enabled():
31     # Full ECP support appeared in lasso version 2.4.2
32     return lasso.checkVersion(2, 4, 2, lasso.CHECK_VERSION_NUMERIC)
33
34
35 class SSO_SOAP(AuthenticateRequest):
36
37     def __init__(self, *args, **kwargs):
38         super(SSO_SOAP, self).__init__(*args, **kwargs)
39         self.binding = metadata.SAML2_SERVICE_MAP['sso-soap'][1]
40
41     @cherrypy.tools.require_content_type(
42         required=[SOAP_MEDIA_TYPE, XML_MEDIA_TYPE])
43     @cherrypy.tools.accept(media=[SOAP_MEDIA_TYPE, XML_MEDIA_TYPE])
44     @cherrypy.tools.response_headers(
45         headers=[('Content-Type', 'SOAP_MEDIA_TYPE')])
46     def POST(self, *args, **kwargs):
47         self.debug("SSO_SOAP.POST() begin")
48
49         self.debug("SSO_SOAP transaction provider=%s id=%s" %
50                    (self.trans.provider, self.trans.transaction_id))
51
52         us = UserSession()
53         us.remote_login()
54         user = us.get_user()
55         self.debug("SSO_SOAP user=%s" % (user.name))
56
57         if not user:
58             raise cherrypy.HTTPError(403, 'No user specified for SSO_SOAP')
59
60         soap_xml_doc = cherrypy.request.rfile.read()
61         soap_xml_doc = soap_xml_doc.strip()
62         self.debug("SSO_SOAP soap_xml_doc=%s" % soap_xml_doc)
63         login = self.saml2login(soap_xml_doc)
64
65         return self.auth(login)
66
67
68 class Redirect(AuthenticateRequest):
69
70     def __init__(self, *args, **kwargs):
71         super(Redirect, self).__init__(*args, **kwargs)
72         self.binding = metadata.SAML2_SERVICE_MAP['sso-redirect'][1]
73
74     def GET(self, *args, **kwargs):
75
76         query = cherrypy.request.query_string
77
78         login = self.saml2login(query)
79         return self.auth(login)
80
81
82 class POSTAuth(AuthenticateRequest):
83
84     def __init__(self, *args, **kwargs):
85         super(POSTAuth, self).__init__(*args, **kwargs)
86         self.binding = metadata.SAML2_SERVICE_MAP['sso-post'][1]
87
88     def POST(self, *args, **kwargs):
89
90         request = kwargs.get(lasso.SAML2_FIELD_REQUEST)
91         relaystate = kwargs.get(lasso.SAML2_FIELD_RELAYSTATE)
92
93         login = self.saml2login(request)
94         login.set_msgRelayState(relaystate)
95         return self.auth(login)
96
97
98 class Continue(AuthenticateRequest):
99
100     def GET(self, *args, **kwargs):
101
102         session = UserSession()
103         user = session.get_user()
104         transdata = self.trans.retrieve()
105         self.stage = transdata['saml2_stage']
106
107         if user.is_anonymous:
108             self.debug("User is marked anonymous?!")
109             # TODO: Return to SP with auth failed error
110             raise cherrypy.HTTPError(401)
111
112         self.debug('Continue auth for %s' % user.name)
113
114         if 'saml2_request' not in transdata:
115             self.debug("Couldn't find Request dump?!")
116             # TODO: Return to SP with auth failed error
117             raise cherrypy.HTTPError(400)
118         dump = transdata['saml2_request']
119
120         try:
121             login = self.cfg.idp.get_login_handler(dump)
122         except Exception, e:  # pylint: disable=broad-except
123             self.debug('Failed to load status from dump: %r' % e)
124
125         if not login:
126             self.debug("Empty Request dump?!")
127             # TODO: Return to SP with auth failed error
128             raise cherrypy.HTTPError(400)
129
130         return self.auth(login)
131
132
133 class Logout(LogoutRequest):
134
135     def GET(self, *args, **kwargs):
136         query = cherrypy.request.query_string
137
138         relaystate = kwargs.get(lasso.SAML2_FIELD_RELAYSTATE)
139         response = kwargs.get(lasso.SAML2_FIELD_RESPONSE)
140
141         return self.logout(query,
142                            relaystate=relaystate,
143                            samlresponse=response)
144
145
146 class SSO(ProviderPageBase):
147
148     def __init__(self, *args, **kwargs):
149         super(SSO, self).__init__(*args, **kwargs)
150         self.Redirect = Redirect(*args, **kwargs)
151         self.POST = POSTAuth(*args, **kwargs)
152         self.Continue = Continue(*args, **kwargs)
153         self.SOAP = SSO_SOAP(*args, **kwargs)
154
155
156 class SLO(ProviderPageBase):
157
158     def __init__(self, *args, **kwargs):
159         super(SLO, self).__init__(*args, **kwargs)
160         self.debug('SLO init')
161         self.Redirect = Logout(*args, **kwargs)
162
163
164 # one week
165 METADATA_RENEW_INTERVAL = 60 * 60 * 24 * 7
166 # five years (approximately)
167 METADATA_DEFAULT_VALIDITY_PERIOD = 365 * 5
168
169
170 class Metadata(ProviderPageBase):
171     def GET(self, *args, **kwargs):
172
173         body = self._get_metadata()
174         cherrypy.response.headers["Content-Type"] = XML_MEDIA_TYPE
175         cherrypy.response.headers["Content-Disposition"] = \
176             'attachment; filename="metadata.xml"'
177         return body
178
179     def _get_metadata(self):
180         if os.path.isfile(self.cfg.idp_metadata_file):
181             s = os.stat(self.cfg.idp_metadata_file)
182             if s.st_mtime > time.time() - METADATA_RENEW_INTERVAL:
183                 with open(self.cfg.idp_metadata_file) as m:
184                     return m.read()
185
186         # Otherwise generate and save
187         idp_cert = Certificate()
188         idp_cert.import_cert(self.cfg.idp_certificate_file,
189                              self.cfg.idp_key_file)
190
191         validity = int(self.cfg.idp_metadata_validity)
192         meta = IdpMetadataGenerator(self.instance_base_url(), idp_cert,
193                                     timedelta(validity))
194         body = meta.output()
195         with open(self.cfg.idp_metadata_file, 'w+') as m:
196             m.write(body)
197         return body
198
199
200 class SAML2(ProviderPageBase):
201
202     def __init__(self, *args, **kwargs):
203         super(SAML2, self).__init__(*args, **kwargs)
204         self.metadata = Metadata(*args, **kwargs)
205         self.SSO = SSO(*args, **kwargs)
206         self.SLO = SLO(*args, **kwargs)
207
208
209 class IdpProvider(ProviderBase):
210
211     def __init__(self, *pargs):
212         super(IdpProvider, self).__init__('saml2', 'saml2', *pargs)
213         self.admin = None
214         self.rest = None
215         self.page = None
216         self.idp = None
217         self.sessionfactory = None
218         self.description = """
219 Provides SAML 2.0 authentication infrastructure. """
220
221         self.new_config(
222             self.name,
223             pconfig.String(
224                 'idp storage path',
225                 'Path to data storage accessible by the IdP.',
226                 '/var/lib/ipsilon/saml2'),
227             pconfig.String(
228                 'idp metadata file',
229                 'The IdP Metadata file generated at install time.',
230                 'metadata.xml'),
231             pconfig.String(
232                 'idp metadata validity',
233                 'The IdP Metadata validity period (in days) to use when '
234                 'generating new metadata.',
235                 METADATA_DEFAULT_VALIDITY_PERIOD),
236             pconfig.String(
237                 'idp certificate file',
238                 'The IdP PEM Certificate generated at install time.',
239                 'certificate.pem'),
240             pconfig.String(
241                 'idp key file',
242                 'The IdP Certificate Key generated at install time.',
243                 'certificate.key'),
244             pconfig.String(
245                 'idp nameid salt',
246                 'The salt used for persistent Name IDs.',
247                 None),
248             pconfig.Condition(
249                 'allow self registration',
250                 'Allow authenticated users to register applications.',
251                 True),
252             pconfig.Choice(
253                 'default allowed nameids',
254                 'Default Allowed NameIDs for Service Providers.',
255                 metadata.SAML2_NAMEID_MAP.keys(),
256                 ['unspecified', 'persistent', 'transient', 'email',
257                  'kerberos', 'x509']),
258             pconfig.Pick(
259                 'default nameid',
260                 'Default NameID used by Service Providers.',
261                 metadata.SAML2_NAMEID_MAP.keys(),
262                 'unspecified'),
263             pconfig.String(
264                 'default email domain',
265                 'Used for users missing the email property.',
266                 'example.com'),
267             pconfig.MappingList(
268                 'default attribute mapping',
269                 'Defines how to map attributes before returning them to SPs',
270                 [['*', '*']]),
271             pconfig.ComplexList(
272                 'default allowed attributes',
273                 'Defines a list of allowed attributes, applied after mapping',
274                 ['*']),
275             pconfig.String(
276                 'session database url',
277                 'Database URL for SAML2 sessions',
278                 'saml2.sessions.db.sqlite'),
279         )
280         if cherrypy.config.get('debug', False):
281             import logging
282             import sys
283             logger = logging.getLogger('lasso')
284             lh = logging.StreamHandler(sys.stderr)
285             logger.addHandler(lh)
286             logger.setLevel(logging.DEBUG)
287
288     @property
289     def allow_self_registration(self):
290         return self.get_config_value('allow self registration')
291
292     @property
293     def idp_storage_path(self):
294         return self.get_config_value('idp storage path')
295
296     @property
297     def idp_metadata_file(self):
298         return os.path.join(self.idp_storage_path,
299                             self.get_config_value('idp metadata file'))
300
301     @property
302     def idp_metadata_validity(self):
303         return self.get_config_value('idp metadata validity')
304
305     @property
306     def idp_certificate_file(self):
307         return os.path.join(self.idp_storage_path,
308                             self.get_config_value('idp certificate file'))
309
310     @property
311     def idp_key_file(self):
312         return os.path.join(self.idp_storage_path,
313                             self.get_config_value('idp key file'))
314
315     @property
316     def idp_nameid_salt(self):
317         return self.get_config_value('idp nameid salt')
318
319     @property
320     def default_allowed_nameids(self):
321         return self.get_config_value('default allowed nameids')
322
323     @property
324     def default_nameid(self):
325         return self.get_config_value('default nameid')
326
327     @property
328     def default_email_domain(self):
329         return self.get_config_value('default email domain')
330
331     @property
332     def default_attribute_mapping(self):
333         return self.get_config_value('default attribute mapping')
334
335     @property
336     def default_allowed_attributes(self):
337         return self.get_config_value('default allowed attributes')
338
339     def get_tree(self, site):
340         self.page = SAML2(site, self)
341         self.admin = Saml2AdminPage(site, self)
342         self.rest = Saml2RestBase(site, self)
343         return self.page
344
345     def init_idp(self):
346         idp = None
347         self.sessionfactory = SAMLSessionFactory(
348             database_url=self.get_config_value('session database url')
349         )
350         # Schedule cleanups
351         # pylint: disable=protected-access
352         bt = cherrypy.process.plugins.BackgroundTask(
353             60, self.sessionfactory._ss.remove_expired_sessions
354         )
355         bt.start()
356         # Init IDP data
357         try:
358             idp = IdentityProvider(self,
359                                    sessionfactory=self.sessionfactory)
360         except Exception, e:  # pylint: disable=broad-except
361             self.debug('Failed to init SAML2 provider: %r' % e)
362             return None
363
364         self._root.logout.add_handler(self.name, self.idp_initiated_logout)
365
366         # Import all known applications
367         data = self.get_data()
368         for idval in data:
369             sp = data[idval]
370             if 'type' not in sp or sp['type'] != 'SP':
371                 continue
372             if 'name' not in sp or 'metadata' not in sp:
373                 continue
374             try:
375                 idp.add_provider(sp)
376             except Exception, e:  # pylint: disable=broad-except
377                 self.debug('Failed to add SP %s: %r' % (sp['name'], e))
378
379         return idp
380
381     def on_enable(self):
382         super(IdpProvider, self).on_enable()
383         self.idp = self.init_idp()
384         if hasattr(self, 'admin'):
385             if self.admin:
386                 self.admin.add_sps()
387
388     def idp_initiated_logout(self):
389         """
390         Logout all SP sessions when the logout comes from the IdP.
391
392         For the current user only.
393
394         Only use HTTP-Redirect to start the logout. This is guaranteed
395         to be supported in SAML 2.
396         """
397         self.debug("IdP-initiated SAML2 logout")
398         us = UserSession()
399         user = us.get_user()
400
401         saml_sessions = self.sessionfactory
402         # pylint: disable=unused-variable
403         (mech, session) = saml_sessions.get_next_logout(
404             logout_mechs=[lasso.SAML2_METADATA_BINDING_REDIRECT])
405         if session is None:
406             return
407
408         logout = self.idp.get_logout_handler()
409         logout.setSessionFromDump(session.login_session)
410         logout.initRequest(session.provider_id)
411         try:
412             logout.buildRequestMsg()
413         except lasso.Error, e:
414             self.error('failure to build logout request msg: %s' % e)
415             raise cherrypy.HTTPRedirect(400, 'Failed to log out user: %s '
416                                         % e)
417
418         # Add a fake session to indicate where the user should
419         # be redirected to when all SP's are logged out.
420         idpurl = self._root.instance_base_url()
421         session_id = "_" + uuid.uuid4().hex.upper()
422         saml_sessions.add_session(session_id, idpurl, user.name, "", "",
423                                   [lasso.SAML2_METADATA_BINDING_REDIRECT])
424         init_session = saml_sessions.get_session_by_id(session_id)
425         saml_sessions.start_logout(init_session, relaystate=idpurl)
426
427         # Add the logout request id we just created to the session to be
428         # logged out so that when it responds we can find the right
429         # session.
430         session.set_logoutstate(request_id=logout.request.id)
431         saml_sessions.start_logout(session, initial=False)
432
433         self.debug('Sending initial logout request to %s' % logout.msgUrl)
434         raise cherrypy.HTTPRedirect(logout.msgUrl)
435
436
437 class IdpMetadataGenerator(object):
438
439     def __init__(self, url, idp_cert, expiration=None):
440         self.meta = metadata.Metadata(metadata.IDP_ROLE, expiration)
441         self.meta.set_entity_id('%s/saml2/metadata' % url)
442         self.meta.add_certs(idp_cert, idp_cert)
443         self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-post'],
444                               '%s/saml2/SSO/POST' % url)
445         self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-redirect'],
446                               '%s/saml2/SSO/Redirect' % url)
447         if is_lasso_ecp_enabled():
448             self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-soap'],
449                                   '%s/saml2/SSO/SOAP' % url)
450         self.meta.add_service(metadata.SAML2_SERVICE_MAP['logout-redirect'],
451                               '%s/saml2/SLO/Redirect' % url)
452         self.meta.add_allowed_name_format(
453             lasso.SAML2_NAME_IDENTIFIER_FORMAT_PERSISTENT)
454         self.meta.add_allowed_name_format(
455             lasso.SAML2_NAME_IDENTIFIER_FORMAT_TRANSIENT)
456         self.meta.add_allowed_name_format(
457             lasso.SAML2_NAME_IDENTIFIER_FORMAT_EMAIL)
458
459     def output(self, path=None):
460         return self.meta.output(path)
461
462
463 class Installer(ProviderInstaller):
464
465     def __init__(self, *pargs):
466         super(Installer, self).__init__()
467         self.name = 'saml2'
468         self.pargs = pargs
469
470     def install_args(self, group):
471         group.add_argument('--saml2', choices=['yes', 'no'], default='yes',
472                            help='Configure SAML2 Provider')
473         group.add_argument('--saml2-metadata-validity',
474                            default=METADATA_DEFAULT_VALIDITY_PERIOD,
475                            help=('Metadata validity period in days '
476                                  '(default - %d)' %
477                                  METADATA_DEFAULT_VALIDITY_PERIOD))
478         group.add_argument('--saml2-session-dburl',
479                            help='session database URL')
480
481     def configure(self, opts, changes):
482         if opts['saml2'] != 'yes':
483             return
484
485         # Check storage path is present or create it
486         path = os.path.join(opts['data_dir'], 'saml2')
487         if not os.path.exists(path):
488             os.makedirs(path, 0700)
489
490         # Use the same cert for signing and ecnryption for now
491         cert = Certificate(path)
492         cert.generate('idp', opts['hostname'])
493
494         # Generate Idp Metadata
495         proto = 'https'
496         if opts['secure'].lower() == 'no':
497             proto = 'http'
498         url = '%s://%s/%s' % (proto, opts['hostname'], opts['instance'])
499         validity = int(opts['saml2_metadata_validity'])
500         meta = IdpMetadataGenerator(url, cert,
501                                     timedelta(validity))
502         if 'gssapi' in opts and opts['gssapi'] == 'yes':
503             meta.meta.add_allowed_name_format(
504                 lasso.SAML2_NAME_IDENTIFIER_FORMAT_KERBEROS)
505
506         meta.output(os.path.join(path, 'metadata.xml'))
507
508         # Add configuration data to database
509         po = PluginObject(*self.pargs)
510         po.name = 'saml2'
511         po.wipe_data()
512         po.wipe_config_values()
513         config = {'idp storage path': path,
514                   'idp metadata file': 'metadata.xml',
515                   'idp certificate file': cert.cert,
516                   'idp key file': cert.key,
517                   'idp nameid salt': uuid.uuid4().hex,
518                   'idp metadata validity': opts['saml2_metadata_validity'],
519                   'session database url': opts['saml2_session_dburl'] or
520                   opts['database_url'] % {
521                       'datadir': opts['data_dir'],
522                       'dbname': 'saml2.sessions.db'}}
523         po.save_plugin_config(config)
524
525         # Update global config to add login plugin
526         po.is_enabled = True
527         po.save_enabled_state()
528
529         # Fixup permissions so only the ipsilon user can read these files
530         files.fix_user_dirs(path, opts['system_user'])
Unnamed repository; edit this file 'description' to name the repository.