hide's memo
11 8月, 2025

SAMLのSPをIISでホストする(IDPはSustainsys のスタブIDPを使用)

[English]

Microsoft .NETの webapp でSAMLのSPを作成し、IISでホストする手順。
IDPはSustainsys のスタブIDPを使用し、下図のような構成を作る。

 

使用するライブラリ ITfoxtec.Identity.SAML2  (https://saml2.sustainsys.com/en/v2/#)
動作環境 Windows 11
Idp Sustainsys SAML IDP  (https://stubidp.sustainsys.com/)

 

参考URL https://qiita.com/urushibata/items/85eb2d0e25b3cd290e14
https://developer.okta.com/blog/2020/10/23/how-to-authenticate-with-saml-in-aspnet-core-and-csharp

 

 

■1. Windows に .NET SDKをインストールする。

以下のURLから、。NET SDKと .NET Core Runtime をダウンロードしてインストールする(バージョンを合わせること)
https://dotnet.microsoft.com/ja-jp/download

 

■2.  webappを作成する

(2.1)以下のコマンドを実行して、Webappを作成する。

dotnet new webapp -o sample
cd sample
dotnet add package ITfoxtec.Identity.Saml2 --version 4.8.2
dotnet add package ITfoxtec.Identity.Saml2.MvcCore --version 4.8.2

(2.2)以下のソースコードを編集•追加する。(それ以外はデフォルトのまま)

(2.2.1) sample/appsettings.json

(IdpMetadataに、SustainsysのStub IDPを指定している)

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "Saml2": {
     "IdPMetadata": "https://stubidp.sustainsys.com/Metadata", 
     "Issuer": "http://saml_sample/",
     "SignatureAlgorithm": "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
     "CertificateValidationMode": "None", 
     "RevocationMode": "NoCheck"
 }
}
(2.2.2) sample/ClaimsTransform.cs
 using ITfoxtec.Identity.Saml2.Claims;
 using System.Collections.Generic;
 using System.Linq;
 using System.Security.Claims;
 
 namespace sample.Identity
 {
     public static class ClaimsTransform
     {
         public static ClaimsPrincipal Transform(ClaimsPrincipal incomingPrincipal)
         {
             if (!incomingPrincipal.Identity.IsAuthenticated)
             {
                 return incomingPrincipal;
             }
 
             return CreateClaimsPrincipal(incomingPrincipal);
         }
 
         private static ClaimsPrincipal CreateClaimsPrincipal(ClaimsPrincipal incomingPrincipal)
         {
             var claims = new List<Claim>();
 
             // All claims
             claims.AddRange(incomingPrincipal.Claims);
 
             // Or custom claims
             //claims.AddRange(GetSaml2LogoutClaims(incomingPrincipal));
             //claims.Add(new Claim(ClaimTypes.NameIdentifier, GetClaimValue(incomingPrincipal, ClaimTypes.NameIdentifier)));
 
             return new ClaimsPrincipal(new ClaimsIdentity(claims, incomingPrincipal.Identity.AuthenticationType, ClaimTypes.NameIdentifier, ClaimTypes.Role)
             {
                 BootstrapContext = ((ClaimsIdentity)incomingPrincipal.Identity).BootstrapContext
             });
         }
 
         private static IEnumerable<Claim> GetSaml2LogoutClaims(ClaimsPrincipal principal)
         {
             yield return GetClaim(principal, Saml2ClaimTypes.NameId);
             yield return GetClaim(principal, Saml2ClaimTypes.NameIdFormat);
             yield return GetClaim(principal, Saml2ClaimTypes.SessionIndex);
         }
 
         private static Claim GetClaim(ClaimsPrincipal principal, string claimType)
         {
             return ((ClaimsIdentity)principal.Identity).Claims.Where(c => c.Type == claimType).FirstOrDefault();
         }
 
         private static string GetClaimValue(ClaimsPrincipal principal, string claimType)
         {
             var claim = GetClaim(principal, claimType);
             return claim != null ? claim.Value : null;
         }
     }
 }

 

(2.2.3) sample/Program.cs
using ITfoxtec.Identity.Saml2;
using ITfoxtec.Identity.Saml2.Schemas.Metadata;
using ITfoxtec.Identity.Saml2.MvcCore.Configuration;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddRazorPages();


builder.Services.Configure<Saml2Configuration>(builder.Configuration.GetSection("Saml2"));
builder.Services.Configure<Saml2Configuration>(saml2Configuration =>
{
    saml2Configuration.AllowedAudienceUris.Add(saml2Configuration.Issuer);
    var entityDescriptor = new EntityDescriptor();
    entityDescriptor.ReadIdPSsoDescriptorFromUrl(new Uri(builder.Configuration["Saml2:IdPMetadata"]));
    if (entityDescriptor.IdPSsoDescriptor != null)
    {
        saml2Configuration.SingleSignOnDestination = entityDescriptor.IdPSsoDescriptor.SingleSignOnServices.First().Location;
        saml2Configuration.SignatureValidationCertificates.AddRange(entityDescriptor.IdPSsoDescriptor.SigningCertificates);
    }
     else
     {
        throw new Exception("IdPSsoDescriptor not loaded from metadata.");
     }
 });
 builder.Services.AddSaml2();





var app = builder.Build();

// Configure the HTTP request pipeline.
if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Error");
    // The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
    app.UseHsts();
}

app.UseHttpsRedirection();     // HTTPSを強制したくない場合は、この行をコメントアウト
app.UseStaticFiles();

app.UseRouting();
app.MapDefaultControllerRoute();
app.UseSaml2();

app.UseAuthorization();

app.MapRazorPages();

app.Run();

 

(2.2.4) sample/Controllers/AuthController.cs
using ITfoxtec.Identity.Saml2;
using ITfoxtec.Identity.Saml2.Schemas;
using ITfoxtec.Identity.Saml2.MvcCore;
using System.Collections.Generic;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using sample.Identity;
using Microsoft.Extensions.Options;
using System.Security.Authentication;
 
 namespace sample.Controllers
 {
     [AllowAnonymous]
     [Route("Auth")]
     public class AuthController : Controller
     {
         const string relayStateReturnUrl = "ReturnUrl";
         private readonly Saml2Configuration config;
 
         public AuthController(IOptions<Saml2Configuration> configAccessor)
         {
             config = configAccessor.Value;
         }
 
         [Route("Login")]
         public IActionResult Login(string returnUrl = null)
         {
             var binding = new Saml2RedirectBinding();
             binding.SetRelayStateQuery(new Dictionary<string, string> { { relayStateReturnUrl, returnUrl ?? Url.Content("~/") } });
 
             return binding.Bind(new Saml2AuthnRequest(config)).ToActionResult();
         }
 
         [Route("AssertionConsumerService")]
         public async Task<IActionResult> AssertionConsumerService()
         {
             var binding = new Saml2PostBinding();
             var saml2AuthnResponse = new Saml2AuthnResponse(config);
 
             binding.ReadSamlResponse(Request.ToGenericHttpRequest(), saml2AuthnResponse);
             if (saml2AuthnResponse.Status != Saml2StatusCodes.Success)
             {
                 throw new AuthenticationException($"SAML Response status: {saml2AuthnResponse.Status}");
             }
             binding.Unbind(Request.ToGenericHttpRequest(), saml2AuthnResponse);
             await saml2AuthnResponse.CreateSession(HttpContext, claimsTransform: (claimsPrincipal) => ClaimsTransform.Transform(claimsPrincipal));
 
             var relayStateQuery = binding.GetRelayStateQuery();
             var returnUrl = relayStateQuery.ContainsKey(relayStateReturnUrl) ? relayStateQuery[relayStateReturnUrl] : Url.Content("~/");

             return Redirect(returnUrl);
         }
 
         [HttpPost("Logout")]
         [ValidateAntiForgeryToken]
         public async Task<IActionResult> Logout()
         {
             if (!User.Identity.IsAuthenticated)
             {
                 return Redirect(Url.Content("~/"));
             }
 
             var binding = new Saml2PostBinding();
             var saml2LogoutRequest = await new Saml2LogoutRequest(config, User).DeleteSession(HttpContext);
             return Redirect("~/");
         }
     }
 }

 

(2.2.5) sample/Pages/Claims.cshtml
@page
@model ClaimsModel
@{
    ViewData["Title"] = "Home page";
}

<div class="row">
    <div class="col-md-12">
        <h2>The users Claims (Iteration on User.Claims)</h2>
        <p>
            @foreach (var claim in User.Claims)
            {
                <strong>@claim.Type</strong> <br /> <span style="padding-left: 10px">Value: @claim.Value</span> <br />
            }
        </p>
    </div>
</div>

 

(2.2.6) sample/Pages/Claims.cshtml.cs
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.RazorPages;
using Microsoft.AspNetCore.Authorization;
using Microsoft.Extensions.Logging;
namespace sample.Pages
{
    [Authorize]
    public class ClaimsModel : PageModel
    {
        private readonly ILogger<ClaimsModel> _logger;
        public ClaimsModel(ILogger<ClaimsModel> logger)
        {
            _logger = logger;
        }
        public void OnGet()
        {
        }
    }
}

 

(2.2.7) sample/Pages/Shared/_Layout.cshtml
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <title>@ViewData["Title"] - saml_example</title>
    <link rel="stylesheet" href="~/lib/bootstrap/dist/css/bootstrap.min.css" />
    <link rel="stylesheet" href="~/css/site.css" asp-append-version="true" />
</head>
<body>
    <header>
        <nav class="navbar navbar-expand-sm navbar-toggleable-sm navbar-light bg-white border-bottom box-shadow mb-3">
            <div class="container">
                <a class="navbar-brand" asp-area="" asp-page="/Index">sample</a>
                <button class="navbar-toggler" type="button" data-bs-toggle="collapse" data-bs-target=".navbar-collapse" aria-controls="navbarSupportedContent"
                        aria-expanded="false" aria-label="Toggle navigation">
                    <span class="navbar-toggler-icon"></span>
                </button>
                <div class="navbar-collapse collapse d-sm-inline-flex justify-content-between">
                    <ul class="navbar-nav flex-grow-1">
@if (((System.Security.Claims.ClaimsIdentity)User.Identity).IsAuthenticated)
{
    <li class="nav-item">
        <a class="nav-link text-dark" asp-area="" asp-page="/Claims">SAML Claims</a>
    </li>
    <li>
        @if (User.Identity.Name != null)
        {
            <span class="navbar-text">Hello, @User.Identity.Name!</span>
        }
        else
        {
            <span class="navbar-text">Hello</span>
        }
    </li>
    <li>
        <form class="form-inline" asp-controller="Auth" asp-action="Logout">
            <button type="submit" class="nav-link btn btn-link text-dark">Logout</button>
        </form>
    </li>
}
else
{
    <li class="nav-item">
        <a class="nav-link text-dark" asp-controller="Auth" asp-action="Login">Login</a>
    </li>
}
                    </ul>
                </div>
            </div>
        </nav>
    </header>
    <div class="container">
        <main role="main" class="pb-3">
            @RenderBody()
        </main>
    </div>

    <footer class="border-top footer text-muted">
        <div class="container">
            © 2025 - saml_example - <a asp-area="" asp-page="/Privacy">Privacy</a>
        </div>
    </footer>

    <script src="~/lib/jquery/dist/jquery.min.js"></script>
    <script src="~/lib/bootstrap/dist/js/bootstrap.bundle.min.js"></script>
    <script src="~/js/site.js" asp-append-version="true"></script>

    @await RenderSectionAsync("Scripts", required: false)
</body>
</html>

 

■3. ビルドとデプロイ用のリリース物件を作成

(3.1)以下のコマンドを実行し、ビルドとIISにデプロイする物件を作成する。

dotnet  build
dotnet publish --configuration Release

上記を実行すると、sample¥bin¥Release¥netX.0¥publish 配下にデプロイファイル群一式ができる。

 

■4. IISにアプリケーションとして追加

(4.1)IISマネージャ起動
(4.2)アプリケーションプールを新規作成(デフォルト設定でOK)
(4.3)Default Web Siteを右クリックして、「アプリケーションの追加」を選択
(4.4)上記■3. で作成したアプリケーションフォルダを選択

 

■5. 動かし方

エイリアスを、”sapmple”とした場合、WEBブラウザで以下のようにアクセス。
(5.1)https://localhost/sample/
(5.2)下図のようにIDPで認証する。

 

 

■6. その他

(6.1) メタデータ取得に失敗する場合

もしこのSPを会社のイントラネット配下で動かした場合に、下図ように、Proxyサーバを経由したmetadataの取得に失敗するかもしれない。

その場合の回避策の1つとして、以下からメタデータをダウンロードし、
https://stubidp.sustainsys.com/Metadata
それを、今回作成したアプリケーションの、wwwroot配下に、metadata.xmlとして保存し、appilcation.jsonを以下のように変更することで回避することが可能。

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "Saml2": {
     "IdPMetadata":"https://localhost/sample/metadata.xml",  // "https://stubidp.sustainsys.com/Metadata", 
     "Issuer": "http://saml_sample/",
     "SignatureAlgorithm": "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
     "CertificateValidationMode": "None", 
     "RevocationMode": "NoCheck"
 }
}

 

(6.2) 署名のチェック

今回の例では、署名のチェックをしていない。署名のチェックをする場合は、以下のようにCertificateValidationMode を変更する。ただし、その場合はIDPの公開鍵を信頼済みルートCAとして登録する必要がある。(studbidpの公開鍵を信頼済みルートCAに登録する場合は、開発環境にとどめるなど注意が必要。本番環境でやってしまうと、不特定多数の人間が任意のユーザになりすますことができてしまう)

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "Saml2": {
     "IdPMetadata":"https://localhost/sample/metadata.xml",  // "https://stubidp.sustainsys.com/Metadata", 
     "Issuer": "http://saml_sample/",
     "SignatureAlgorithm": "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
     "CertificateValidationMode": "ChainTrust", 
     "RevocationMode": "NoCheck"
 }
}
13 4月, 2023

自前のSAML IdPを作成する

[English]

何らかのWebシステムを構築し、ログインをSAMLで実現したい場合、開発環境をどうするか。

開発環境は、任意のユーザとしてログインできる必要がある。しかし、開発環境特有の特殊なログインだと本番環境で起きる問題を事前に洗い出せない場合があるので、本物のIDPと同じ動きが可能な、開発環境に使用できるSAML IdPを使用したいと思うかもない。そこで、自分専用のSAML IdPを立ち上げる手順を紹介する。

 

■1. 環境作成の概要

サンプルとして以下のような環境を作成する。

(1)WordPress環境を作成し、それと連携する独自 IdP を立ち上げる。
(2)WordPressのSAMLプラグインは miniOrange SAML 2.0 SSO Pluginを使用する。
(3)独自IdPは SimpleSAMLphp を使用する。
(4)上記環境は、Dockerを使って作成する。
(miniOralge SAML 2.0 SSO Plugin の無料版は、
 WordPress上に存在しないユーザが SAML認証をパスしたら、自動的にそのユーザアカウントが生成される)

 

■2. 環境構築

必要なプログラムやシェルを以下に用意したのでそれを使用して説明する(内容の詳細は後述する)

(1)以下から、my-env.tgzをダウンロードする。
https://github.com/hidemiubiz/public/blob/main/SAML/my-env.tgz
(2)適当なフォルダ配下で解凍する。
(3)独自IdP(my-idp)の構築
(3.1)Docker Composeを使用して独自SAML IdP環境を作成

cd my-env/my-idp
docker-compose up -d

(3.2)SAML連携で使用する公開鍵、秘密鍵を作成する

docker exec -it my-idp-php-1 /bin/bash
cd /var/www/html
/bin/sh prepare-env.sh

–> ここで作成された、my.crt (公開鍵)の内容をメモしておく。
(/var/www/html配下に、公開鍵、秘密鍵が置かれてしまう!! デモなので考慮しないが本来は別の場所に配置すべき)

(4)WordPress 環境の構築
(4.1)Docker Compose を使用してして作成する

cd my-env/my-wp
docker-compose up -d

(4.2)WordPressのインストール
http://localhost:8000/wp-admin にアクセスし、指示に従ってWordPressをインストールする。
(言語を選んで、次にアカウントを1個作るだけ)

(4.3)SAML Pluginのインストール
(4.3.1)http://localhost:8000/wp-admin にアクセスし、上記(4.2)で作ったアカウントでログイン
(4.3.2)プラグイン -> 新規追加で新規追加ボタンを押す
(4.3.3)SAML で検索し、SAML Single Sign On -SSO Loginをインストールし有効化(4.4)SAML Pluginの設定
(4.4.1)minOrange SAML 2.0 SSOをクリック
(4.4.2)Servie Provider Setupタブで以下を設定

Identity Provider Name: test
Idp Entity ID or Issuer: http://localhost:8080/
SAML Login URL: http://localhost:8080/mylogin.php
X.509 Certificate: 上記(3.2)でメモした公開鍵

(4.4.3)Test Configurationで動作確認

 

■3. my-env.tgzについて

下図のファイル構成になっている。

my-env/
  |--my-idp/
  |   |--docker-compose.yml
  |   |--php/
  |   |   |--php.ini
  |   |   |--Dockerfile
  |   |
  |   |--nginx/
  |   |   |--nginx.conf
  |   |
  |   |--www/
  |       |--html/
  |           |--mysaml.php
  |           |--mylogin.php
  |           |--makecert.sh
  |
  |--my-wp/
      |--docker-compose.yml

 

・my-env/my-idp/docker-compose.yml

自前のIdP環境を構築するdocker-comopse設定。webサーバとしてnginx、php環境を立てる。

version: '3'
services:
  nginx:
    image: nginx:latest
    ports:
      - 8080:80
    volumes:
      - ./nginx/nginx.conf:/etc/nginx/conf.d/default.conf
      - ./www/html:/var/www/html
    depends_on:
      - php

  php:
    build: ./php
    volumes:
      - ./www/html:/var/www/html

 

・my-env/my-idp/php/php.ini
date.timezone = "Asia/Tokyo"

 

・my-env/my-idp/www/html/makecet.sh

自前のIdPが使用する公開鍵と秘密鍵を生成するシェルスクリプト。

!/bin/sh
CN=my
PASSWORD=abcdefgxyz

SJ="/C=JP/ST=Tokyo/L=Minato-ku/O=hidemiu/OU=hidemiu/CN=$CN"
openssl genrsa -des3 -passout pass:${PASSWORD} -out ${CN}.key 2048
openssl rsa -passin pass:${PASSWORD} -in ${CN}.key -out ${CN}.key
openssl req -new -sha256 -key ${CN}.key -out ${CN}.csr -subj "$SJ"
openssl req -x509 -in ${CN}.csr -key ${CN}.key -out ${CN}.crt -days 3650

 

・my-env/my-idp/www/html/mylogin.php

https://github.com/hidemiubiz/public/blob/main/SAML/my-env/my-idp/www/html/mylogin.php

SP(WordPress)からSAMLRequestを受け取り、それをformに保持し、ログインするユーザアカウントを指定する画面のphp。

 

・my-env/my-idp/www/html/mysaml.php

https://github.com/hidemiubiz/public/blob/main/SAML/my-env/my-idp/www/html/mysaml.php

SAMLRequestとログインするユーザアカウントを受け取りSAMLレスポンスを生成し、SP(WordPress)に送信する画面のphp。

 

・my-env/my-idp/php/Dockerfile
FROM php:7.2-fpm
COPY php.ini /usr/local/etc/php/
RUN docker-php-ext-install pdo_mysql

 

 

・my-wp/docker-compose.xml

WordPress環境のDocker-Compose設定。

version: '3'

services:
  db:
    image: mysql:5.7
    platform: linux/amd64
    volumes:
      - db_data:/var/lib/mysql
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: somewordpress
      MYSQL_DATABASE: wordpress
      MYSQL_USER: wordpress
      MYSQL_PASSWORD: wordpress

  wordpress:
    depends_on:
      - db
    image: wordpress:latest
    ports:
      - "8000:80"
    restart: always
    environment:
      WORDPRESS_DB_HOST: db:3306
      WORDPRESS_DB_USER: wordpress
      WORDPRESS_DB_PASSWORD: wordpress
volumes:
    db_data:

 

 

■4. 本環境のSAMLによる認証シーケンス