projects / cascardo / ipsilon.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Use plugin-specific configuration, better expiration
[cascardo/ipsilon.git] / ipsilon / providers / saml2idp.py
1 # Copyright (C) 2014 Ipsilon project Contributors, for license see COPYING
2
3 from ipsilon.providers.common import ProviderBase, ProviderPageBase, \
4     ProviderInstaller
5 from ipsilon.providers.saml2.auth import AuthenticateRequest
6 from ipsilon.providers.saml2.logout import LogoutRequest
7 from ipsilon.providers.saml2.admin import Saml2AdminPage
8 from ipsilon.providers.saml2.rest import Saml2RestBase
9 from ipsilon.providers.saml2.provider import IdentityProvider
10 from ipsilon.providers.saml2.sessions import SAMLSessionFactory
11 from ipsilon.util.data import SAML2SessionStore
12 from ipsilon.tools.certs import Certificate
13 from ipsilon.tools import saml2metadata as metadata
14 from ipsilon.tools import files
15 from ipsilon.util.http import require_content_type
16 from ipsilon.util.constants import SOAP_MEDIA_TYPE, XML_MEDIA_TYPE
17 from ipsilon.util.user import UserSession
18 from ipsilon.util.plugin import PluginObject
19 from ipsilon.util import config as pconfig
20 import cherrypy
21 from datetime import timedelta
22 import lasso
23 import os
24 import time
25 import uuid
26
27 cherrypy.tools.require_content_type = cherrypy.Tool('before_request_body',
28                                                     require_content_type)
29
30
31 def is_lasso_ecp_enabled():
32     # Full ECP support appeared in lasso version 2.4.2
33     return lasso.checkVersion(2, 4, 2, lasso.CHECK_VERSION_NUMERIC)
34
35
36 class SSO_SOAP(AuthenticateRequest):
37
38     def __init__(self, *args, **kwargs):
39         super(SSO_SOAP, self).__init__(*args, **kwargs)
40         self.binding = metadata.SAML2_SERVICE_MAP['sso-soap'][1]
41
42     @cherrypy.tools.require_content_type(
43         required=[SOAP_MEDIA_TYPE, XML_MEDIA_TYPE])
44     @cherrypy.tools.accept(media=[SOAP_MEDIA_TYPE, XML_MEDIA_TYPE])
45     @cherrypy.tools.response_headers(
46         headers=[('Content-Type', 'SOAP_MEDIA_TYPE')])
47     def POST(self, *args, **kwargs):
48         self.debug("SSO_SOAP.POST() begin")
49
50         self.debug("SSO_SOAP transaction provider=%s id=%s" %
51                    (self.trans.provider, self.trans.transaction_id))
52
53         us = UserSession()
54         us.remote_login()
55         user = us.get_user()
56         self.debug("SSO_SOAP user=%s" % (user.name))
57
58         if not user:
59             raise cherrypy.HTTPError(403, 'No user specified for SSO_SOAP')
60
61         soap_xml_doc = cherrypy.request.rfile.read()
62         soap_xml_doc = soap_xml_doc.strip()
63         self.debug("SSO_SOAP soap_xml_doc=%s" % soap_xml_doc)
64         login = self.saml2login(soap_xml_doc)
65
66         return self.auth(login)
67
68
69 class Redirect(AuthenticateRequest):
70
71     def __init__(self, *args, **kwargs):
72         super(Redirect, self).__init__(*args, **kwargs)
73         self.binding = metadata.SAML2_SERVICE_MAP['sso-redirect'][1]
74
75     def GET(self, *args, **kwargs):
76
77         query = cherrypy.request.query_string
78
79         login = self.saml2login(query)
80         return self.auth(login)
81
82
83 class POSTAuth(AuthenticateRequest):
84
85     def __init__(self, *args, **kwargs):
86         super(POSTAuth, self).__init__(*args, **kwargs)
87         self.binding = metadata.SAML2_SERVICE_MAP['sso-post'][1]
88
89     def POST(self, *args, **kwargs):
90
91         request = kwargs.get(lasso.SAML2_FIELD_REQUEST)
92         relaystate = kwargs.get(lasso.SAML2_FIELD_RELAYSTATE)
93
94         login = self.saml2login(request)
95         login.set_msgRelayState(relaystate)
96         return self.auth(login)
97
98
99 class Continue(AuthenticateRequest):
100
101     def GET(self, *args, **kwargs):
102
103         session = UserSession()
104         user = session.get_user()
105         transdata = self.trans.retrieve()
106         self.stage = transdata['saml2_stage']
107
108         if user.is_anonymous:
109             self.debug("User is marked anonymous?!")
110             # TODO: Return to SP with auth failed error
111             raise cherrypy.HTTPError(401)
112
113         self.debug('Continue auth for %s' % user.name)
114
115         if 'saml2_request' not in transdata:
116             self.debug("Couldn't find Request dump?!")
117             # TODO: Return to SP with auth failed error
118             raise cherrypy.HTTPError(400)
119         dump = transdata['saml2_request']
120
121         try:
122             login = self.cfg.idp.get_login_handler(dump)
123         except Exception, e:  # pylint: disable=broad-except
124             self.debug('Failed to load status from dump: %r' % e)
125
126         if not login:
127             self.debug("Empty Request dump?!")
128             # TODO: Return to SP with auth failed error
129             raise cherrypy.HTTPError(400)
130
131         return self.auth(login)
132
133
134 class RedirectLogout(LogoutRequest):
135
136     def GET(self, *args, **kwargs):
137         query = cherrypy.request.query_string
138
139         relaystate = kwargs.get(lasso.SAML2_FIELD_RELAYSTATE)
140         response = kwargs.get(lasso.SAML2_FIELD_RESPONSE)
141
142         return self.logout(query,
143                            relaystate=relaystate,
144                            samlresponse=response)
145
146
147 class SSO(ProviderPageBase):
148
149     def __init__(self, *args, **kwargs):
150         super(SSO, self).__init__(*args, **kwargs)
151         self.Redirect = Redirect(*args, **kwargs)
152         self.POST = POSTAuth(*args, **kwargs)
153         self.Continue = Continue(*args, **kwargs)
154         self.SOAP = SSO_SOAP(*args, **kwargs)
155
156
157 class SLO(ProviderPageBase):
158
159     def __init__(self, *args, **kwargs):
160         super(SLO, self).__init__(*args, **kwargs)
161         self.debug('SLO init')
162         self.Redirect = RedirectLogout(*args, **kwargs)
163
164
165 # one week
166 METADATA_RENEW_INTERVAL = 60 * 60 * 24 * 7
167 # five years (approximately)
168 METADATA_DEFAULT_VALIDITY_PERIOD = 365 * 5
169
170
171 class Metadata(ProviderPageBase):
172     def GET(self, *args, **kwargs):
173
174         body = self._get_metadata()
175         cherrypy.response.headers["Content-Type"] = XML_MEDIA_TYPE
176         cherrypy.response.headers["Content-Disposition"] = \
177             'attachment; filename="metadata.xml"'
178         return body
179
180     def _get_metadata(self):
181         if os.path.isfile(self.cfg.idp_metadata_file):
182             s = os.stat(self.cfg.idp_metadata_file)
183             if s.st_mtime > time.time() - METADATA_RENEW_INTERVAL:
184                 with open(self.cfg.idp_metadata_file) as m:
185                     return m.read()
186
187         # Otherwise generate and save
188         idp_cert = Certificate()
189         idp_cert.import_cert(self.cfg.idp_certificate_file,
190                              self.cfg.idp_key_file)
191
192         validity = int(self.cfg.idp_metadata_validity)
193         meta = IdpMetadataGenerator(self.instance_base_url(), idp_cert,
194                                     timedelta(validity))
195         body = meta.output()
196         with open(self.cfg.idp_metadata_file, 'w+') as m:
197             m.write(body)
198         return body
199
200
201 class SAML2(ProviderPageBase):
202
203     def __init__(self, *args, **kwargs):
204         super(SAML2, self).__init__(*args, **kwargs)
205         self.metadata = Metadata(*args, **kwargs)
206         self.SSO = SSO(*args, **kwargs)
207         self.SLO = SLO(*args, **kwargs)
208
209
210 class IdpProvider(ProviderBase):
211
212     def __init__(self, *pargs):
213         super(IdpProvider, self).__init__('saml2', 'saml2', *pargs)
214         self.admin = None
215         self.rest = None
216         self.page = None
217         self.idp = None
218         self.sessionfactory = None
219         self.description = """
220 Provides SAML 2.0 authentication infrastructure. """
221
222         self.new_config(
223             self.name,
224             pconfig.String(
225                 'idp storage path',
226                 'Path to data storage accessible by the IdP.',
227                 '/var/lib/ipsilon/saml2'),
228             pconfig.String(
229                 'idp metadata file',
230                 'The IdP Metadata file generated at install time.',
231                 'metadata.xml'),
232             pconfig.String(
233                 'idp metadata validity',
234                 'The IdP Metadata validity period (in days) to use when '
235                 'generating new metadata.',
236                 METADATA_DEFAULT_VALIDITY_PERIOD),
237             pconfig.String(
238                 'idp certificate file',
239                 'The IdP PEM Certificate generated at install time.',
240                 'certificate.pem'),
241             pconfig.String(
242                 'idp key file',
243                 'The IdP Certificate Key generated at install time.',
244                 'certificate.key'),
245             pconfig.String(
246                 'idp nameid salt',
247                 'The salt used for persistent Name IDs.',
248                 None),
249             pconfig.Condition(
250                 'allow self registration',
251                 'Allow authenticated users to register applications.',
252                 True),
253             pconfig.Choice(
254                 'default allowed nameids',
255                 'Default Allowed NameIDs for Service Providers.',
256                 metadata.SAML2_NAMEID_MAP.keys(),
257                 ['unspecified', 'persistent', 'transient', 'email',
258                  'kerberos', 'x509']),
259             pconfig.Pick(
260                 'default nameid',
261                 'Default NameID used by Service Providers.',
262                 metadata.SAML2_NAMEID_MAP.keys(),
263                 'unspecified'),
264             pconfig.String(
265                 'default email domain',
266                 'Used for users missing the email property.',
267                 'example.com'),
268             pconfig.MappingList(
269                 'default attribute mapping',
270                 'Defines how to map attributes before returning them to SPs',
271                 [['*', '*']]),
272             pconfig.ComplexList(
273                 'default allowed attributes',
274                 'Defines a list of allowed attributes, applied after mapping',
275                 ['*']),
276             pconfig.String(
277                 'session database url',
278                 'Database URL for SAML2 sessions',
279                 'saml2.sessions.db.sqlite'),
280         )
281         if cherrypy.config.get('debug', False):
282             import logging
283             import sys
284             logger = logging.getLogger('lasso')
285             lh = logging.StreamHandler(sys.stderr)
286             logger.addHandler(lh)
287             logger.setLevel(logging.DEBUG)
288
289         store = SAML2SessionStore(
290             database_url=self.get_config_value('session database url')
291         )
292         bt = cherrypy.process.plugins.BackgroundTask(
293             60, store.remove_expired_sessions
294         )
295         bt.start()
296
297     @property
298     def allow_self_registration(self):
299         return self.get_config_value('allow self registration')
300
301     @property
302     def idp_storage_path(self):
303         return self.get_config_value('idp storage path')
304
305     @property
306     def idp_metadata_file(self):
307         return os.path.join(self.idp_storage_path,
308                             self.get_config_value('idp metadata file'))
309
310     @property
311     def idp_metadata_validity(self):
312         return self.get_config_value('idp metadata validity')
313
314     @property
315     def idp_certificate_file(self):
316         return os.path.join(self.idp_storage_path,
317                             self.get_config_value('idp certificate file'))
318
319     @property
320     def idp_key_file(self):
321         return os.path.join(self.idp_storage_path,
322                             self.get_config_value('idp key file'))
323
324     @property
325     def idp_nameid_salt(self):
326         return self.get_config_value('idp nameid salt')
327
328     @property
329     def default_allowed_nameids(self):
330         return self.get_config_value('default allowed nameids')
331
332     @property
333     def default_nameid(self):
334         return self.get_config_value('default nameid')
335
336     @property
337     def default_email_domain(self):
338         return self.get_config_value('default email domain')
339
340     @property
341     def default_attribute_mapping(self):
342         return self.get_config_value('default attribute mapping')
343
344     @property
345     def default_allowed_attributes(self):
346         return self.get_config_value('default allowed attributes')
347
348     def get_tree(self, site):
349         self.idp = self.init_idp()
350         self.page = SAML2(site, self)
351         self.admin = Saml2AdminPage(site, self)
352         self.rest = Saml2RestBase(site, self)
353         return self.page
354
355     def init_idp(self):
356         idp = None
357         self.sessionfactory = SAMLSessionFactory(
358             database_url=self.get_config_value('session database url')
359         )
360         # Init IDP data
361         try:
362             idp = IdentityProvider(self,
363                                    sessionfactory=self.sessionfactory)
364         except Exception, e:  # pylint: disable=broad-except
365             self.debug('Failed to init SAML2 provider: %r' % e)
366             return None
367
368         self._root.logout.add_handler(self.name, self.idp_initiated_logout)
369
370         # Import all known applications
371         data = self.get_data()
372         for idval in data:
373             sp = data[idval]
374             if 'type' not in sp or sp['type'] != 'SP':
375                 continue
376             if 'name' not in sp or 'metadata' not in sp:
377                 continue
378             try:
379                 idp.add_provider(sp)
380             except Exception, e:  # pylint: disable=broad-except
381                 self.debug('Failed to add SP %s: %r' % (sp['name'], e))
382
383         return idp
384
385     def on_enable(self):
386         super(IdpProvider, self).on_enable()
387         self.idp = self.init_idp()
388         if hasattr(self, 'admin'):
389             if self.admin:
390                 self.admin.add_sps()
391
392     def idp_initiated_logout(self):
393         """
394         Logout all SP sessions when the logout comes from the IdP.
395
396         For the current user only.
397         """
398         self.debug("IdP-initiated SAML2 logout")
399         us = UserSession()
400         user = us.get_user()
401
402         saml_sessions = self.sessionfactory
403         session = saml_sessions.get_next_logout()
404         if session is None:
405             return
406
407         logout = self.idp.get_logout_handler()
408         logout.setSessionFromDump(session.login_session)
409         logout.initRequest(session.provider_id)
410         try:
411             logout.buildRequestMsg()
412         except lasso.Error, e:
413             self.error('failure to build logout request msg: %s' % e)
414             raise cherrypy.HTTPRedirect(400, 'Failed to log out user: %s '
415                                         % e)
416
417         # Add a fake session to indicate where the user should
418         # be redirected to when all SP's are logged out.
419         idpurl = self._root.instance_base_url()
420         session_id = "_" + uuid.uuid4().hex.upper()
421         saml_sessions.add_session(session_id, idpurl, user.name, "")
422         init_session = saml_sessions.get_session_by_id(session_id)
423         saml_sessions.start_logout(init_session, relaystate=idpurl)
424
425         # Add the logout request id we just created to the session to be
426         # logged out so that when it responds we can find the right
427         # session.
428         session.set_logoutstate(request_id=logout.request.id)
429         saml_sessions.start_logout(session, initial=False)
430
431         self.debug('Sending initial logout request to %s' % logout.msgUrl)
432         raise cherrypy.HTTPRedirect(logout.msgUrl)
433
434
435 class IdpMetadataGenerator(object):
436
437     def __init__(self, url, idp_cert, expiration=None):
438         self.meta = metadata.Metadata(metadata.IDP_ROLE, expiration)
439         self.meta.set_entity_id('%s/saml2/metadata' % url)
440         self.meta.add_certs(idp_cert, idp_cert)
441         self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-post'],
442                               '%s/saml2/SSO/POST' % url)
443         self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-redirect'],
444                               '%s/saml2/SSO/Redirect' % url)
445         if is_lasso_ecp_enabled():
446             self.meta.add_service(metadata.SAML2_SERVICE_MAP['sso-soap'],
447                                   '%s/saml2/SSO/SOAP' % url)
448         self.meta.add_service(metadata.SAML2_SERVICE_MAP['logout-redirect'],
449                               '%s/saml2/SLO/Redirect' % url)
450         self.meta.add_allowed_name_format(
451             lasso.SAML2_NAME_IDENTIFIER_FORMAT_PERSISTENT)
452         self.meta.add_allowed_name_format(
453             lasso.SAML2_NAME_IDENTIFIER_FORMAT_TRANSIENT)
454         self.meta.add_allowed_name_format(
455             lasso.SAML2_NAME_IDENTIFIER_FORMAT_EMAIL)
456
457     def output(self, path=None):
458         return self.meta.output(path)
459
460
461 class Installer(ProviderInstaller):
462
463     def __init__(self, *pargs):
464         super(Installer, self).__init__()
465         self.name = 'saml2'
466         self.pargs = pargs
467
468     def install_args(self, group):
469         group.add_argument('--saml2', choices=['yes', 'no'], default='yes',
470                            help='Configure SAML2 Provider')
471         group.add_argument('--saml2-metadata-validity',
472                            default=METADATA_DEFAULT_VALIDITY_PERIOD,
473                            help=('Metadata validity period in days '
474                                  '(default - %d)' %
475                                  METADATA_DEFAULT_VALIDITY_PERIOD))
476         group.add_argument('--saml2-session-dburl',
477                            help='session database URL')
478
479     def configure(self, opts, changes):
480         if opts['saml2'] != 'yes':
481             return
482
483         # Check storage path is present or create it
484         path = os.path.join(opts['data_dir'], 'saml2')
485         if not os.path.exists(path):
486             os.makedirs(path, 0700)
487
488         # Use the same cert for signing and ecnryption for now
489         cert = Certificate(path)
490         cert.generate('idp', opts['hostname'])
491
492         # Generate Idp Metadata
493         proto = 'https'
494         if opts['secure'].lower() == 'no':
495             proto = 'http'
496         url = '%s://%s/%s' % (proto, opts['hostname'], opts['instance'])
497         validity = int(opts['saml2_metadata_validity'])
498         meta = IdpMetadataGenerator(url, cert,
499                                     timedelta(validity))
500         if 'gssapi' in opts and opts['gssapi'] == 'yes':
501             meta.meta.add_allowed_name_format(
502                 lasso.SAML2_NAME_IDENTIFIER_FORMAT_KERBEROS)
503
504         meta.output(os.path.join(path, 'metadata.xml'))
505
506         # Add configuration data to database
507         po = PluginObject(*self.pargs)
508         po.name = 'saml2'
509         po.wipe_data()
510         po.wipe_config_values()
511         config = {'idp storage path': path,
512                   'idp metadata file': 'metadata.xml',
513                   'idp certificate file': cert.cert,
514                   'idp key file': cert.key,
515                   'idp nameid salt': uuid.uuid4().hex,
516                   'idp metadata validity': opts['saml2_metadata_validity'],
517                   'session database url': opts['saml2_session_dburl'] or
518                   opts['database_url'] % {
519                       'datadir': opts['data_dir'],
520                       'dbname': 'saml2.sessions.db'}}
521         po.save_plugin_config(config)
522
523         # Update global config to add login plugin
524         po.is_enabled = True
525         po.save_enabled_state()
526
527         # Fixup permissions so only the ipsilon user can read these files
528         files.fix_user_dirs(path, opts['system_user'])
Unnamed repository; edit this file 'description' to name the repository.