sso – Gea-Suan Lin's BLOG

網頁版 Google OAuth 的作法

早期的作法是「Integrating Google Sign-In into your web app」這個，但官方已經標注 deprecated 了，在官方的文件上面可以看到對應的警告說明，現在雖然會動，但之後應該會關掉：

Warning: The support of Google Sign-In JavaScript platform library for Web is set to be deprecated after March 31, 2023. The solutions in this guide are based on this library and therefore also deprecated.

本來一開始是走「OAuth 2.0 for Client-side Web Applications」這個，這份文件會教你引入 Google 提供的 javascript library，也就是 https://apis.google.com/js/api.js 這份，但其實沒必要這樣用... 先不管會多吃多少資源，比較敏感的是隱私問題 (像是透過 3rd-party cookie 追蹤)。

後來研究出來比較好的方法是走「Using OAuth 2.0 for Web Server Applications」這邊提到的方式，就算是 javascript 也可以建立出來，像是這樣：

(() => {
  const el = document.getElementById('glogin');
  el.addEventListener('click', () => {
    document.location = 'https://accounts.google.com/o/oauth2/v2/auth?' +
      'client_id=x-x.apps.googleusercontent.com' +
      '&redirect_uri=https://test.example.com/google_redirect_uri.php' +
      '&response_type=code' +
      '&scope=profile+email';
  });
})();

然後這邊的接收端 (google_redirect_uri.php) 是讓 Google 授權後用 redirect 的方式把對應的認證變數 code 帶過來，這邊是用 PHP 實做，有兩個步驟：

先用 POST 打 https://oauth2.googleapis.com/token 取得 (換得) access token，也就是 access_token。
再用 GET 打 https://www.googleapis.com/oauth2/v3/userinfo (帶上一個取得的 access token 進去) 取得使用者資料。

scope 裡如果沒有 email 的話，最後就不會拿到 email，但 SSO 應用應該會需要這個資訊，所以範例裡面還是放進去...

這邊是故意儘量用 PHP 內建的 library 實做，但應該不算複雜，換用 Guzzle 或是用其他語言應該算簡單：

    $qs = http_build_query([
        'code' => $_GET['code'],
        'client_id' => 'x-x.apps.googleusercontent.com',
        'client_secret' => 'x',
        'redirect_uri' => 'https://test.example.com/google_redirect_uri.php',
        'grant_type' => 'authorization_code',
    ]);

    $url = 'https://oauth2.googleapis.com/token';
    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $qs);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    $res = curl_exec($ch);
    curl_close($ch);

    $data = json_decode($res);

    $atoken = $data->access_token;

    $url = 'https://www.googleapis.com/oauth2/v3/userinfo';
    $ch = curl_init($url);
    curl_setopt($ch, CURLOPT_HTTPHEADER, ["Authorization: Bearer ${atoken}"]);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    $res = curl_exec($ch);
    curl_close($ch);

最後的資料就在 $res 裡面，想要看可以直接用 var_dump($res); 看。

這樣只有使用者真的要用 Google SSO 時才會有 request 進到 Google 伺服器。

美國政府的 SSO 網站 login.gov

在 2017 年的時候 18F 推出了美國政府的 SSO 服務 login.gov：「Government launches login.gov to simplify access to public services」，當時只支援聯邦政府的系統。

這幾天看到了新的公告，宣佈 login.gov 的服務範圍打算擴大到州政府與地方政府的計畫：「Login.gov to provide authentication and identity proofing services to a limited number of federally funded state and local government programs.」。

翻了一下開發網站「Welcome to the login.gov developer guide | login.gov」，可以看到使用的技術應該是 OpenID 與 SAML：

Select between OpenID Connect (OIDC) or SAML protocol implementation protocols. Please note that we recommend OIDC.

難得看到 OpenID 被拿出來用，記起來好了...

AWS 推出 AWS Single Sign-On

AWS 推出了 AWS Single Sign-On：「Introducing AWS Single Sign-On」、「Announcing AWS Single Sign-On (SSO)」。

將 SSO 當成一個服務來賣的概念，可以將既有的 Active Directory 服務掛上去當後端，然後對外透過 SAML 2.0 接上各種服務：

目前掛在 us-east-1 上，AWS SSO 的部份不另外收費：

There is no additional cost to enable AWS SSO. It is now available in the US East (N. Virginia) Region.

從官方的截圖可以看到包括了蠻多常用的 SAML 2.0 服務，也可以自己設定：

交大的 Single Sign On 系統

在 Facebook 上看到這個消息：「交通大學 OAuth 平台上線！」，由於 D2 E-mail 系統上沒什麼資料，主要賣點還是 Single Sign On 的部份。

當初想要做 OpenID 的 SSO (當年已經有 OpenID 1.0)，跟 cschen 申請了 sso.nctu.edu.tw (還掛在 ccreader 上呢)，但後來還是沒實做出來 (也忘了是什麼原因)，過了快十年總算有人跟計中合作跳下來做了 XD

SSO 很多人都能做 (像是透過 POP3S 或是 IMAPS 認證，甚至透過網頁登入確認)，但只有帶著官方名義做才有意義 (也就是本來就碰的到密碼的人來管理)，這次唯一可惜的是還沒有讓系統完全自動化... (i.e. 自由申請)

Slack 的 User Groups 功能

Slack 最近除了推出了 Group Messages 以外 (參考「Slack 支援多人討論群組」)，也推出了 User Groups 的功能給付費用戶使用：「Introducing User Groups」：

User Groups are enabled for all Slack teams on paid plans (both Standard and Plus). New groups can be created in the Team Directory panel in your desktop app. You can give each a descriptive name and add a note on purpose to help others understand what each group is for. The team directory will then list your team’s existing user groups and show the details of each, along with the the group’s members.

使用者可以被分類成 Group，然後可以針對某一個 Group 傳訊息。而 Plus Plan 的用戶可以透過 SSO 機制將群組資訊帶進來用：

For teams using Single Sign On (SSO) on the Plus plan, you can even use groups to control provisioning accounts from your SSO tools. Users of Active Directory in OneLogin, PingOne, PingFederate, or Okta can take advantage of this built-in user provisioning support to add employees automatically into Slack User Groups matching each employee’s existing group rights, roles and permissions in your internal directory.

另外也有提供 API 讓你用，所以 Standard Plan 用戶也可以自己寫，然後塞進去。

維基百科的 Global Account 轉移計畫

維基百科描述了當初沒有規劃多語系與多系統的帳號管理，而產生出來的 migrate 計畫：「Single-User Login provides access to all wikis」。

整個計畫到實作完成長達十年 (大約從 2004 年開始有想法)，接下來進入最後階段：

This week, we will begin the process of renaming the remaining 1.46 million accounts – those which have not responded to all attempts at outreach. That process is expected to take approximately one to two weeks.

從第一次編輯到現在也好久了啊...

AWS IAM 支援 SAML 2.0

剛剛看到 AWS 宣佈 AWS IAM 支援 SAML 2.0：「AWS Identity and Access Management Using SAML」。

SAML 是 Single Sign-On 協定的一種，2001 年就推出來了，不過其中用到的架構頗為複雜，由於是 XML 交換技術，再加上要在 XML 上面簽名 (XML Signature)，其實我不是很喜歡這東西... @_@

當初會硬要接觸是因為 Google Apps 的 SSO 是使用 SAML，真是懷念啊...

由於是個公開標準，有不少企業 SSO 方案都有支援 SAML。而 AWS IAM 支援 SAML 就相當於讓控管的部份整合起來了... 我好像也應該來弄弄了？