Camunda + ADFS

背景及其概述

我們經(jīng)常做的國際企業(yè)的項目何乎，難免會遇到微軟的產(chǎn)品Office子漩、Teams等其他的產(chǎn)品幼衰。當然大部分國際企業(yè)基本上用的微軟產(chǎn)品阿弃，比如AD FS(SSO)產(chǎn)品诊霹。同時審批流也是企業(yè)常用的業(yè)務(wù)能力，目前我們可選的開源渣淳、成熟脾还、可靠的工作流Flowable和Camunda，在我們周圍幾乎使用的Flowable入愧，也有Activiti鄙漏。但是我喜歡Camunda，因為業(yè)務(wù)能力比較強砂客。

開源流程引擎該如何選擇flowable還是camunda泥张？

假如我們是從零起步的，在SSO這方面可選的產(chǎn)品開源成熟的產(chǎn)品就是CAS鞠值、Keycloak等媚创，可能還有其他的，我也不跟你們計較（有時候會牽扯到法務(wù)彤恶，安全審核等等钞钙，所以選擇一些產(chǎn)品都是經(jīng)過考慮的）。

• CAS

  這個東西太難搞了声离，從16年開始就接觸了芒炼，而且離自己期望的業(yè)務(wù)能力有點遠（可能是自己太懶吧），比如：企業(yè)組織架構(gòu)术徊，自定義登錄界面等本刽，當然有些功能CAS可以實現(xiàn)的。但是是該退出舞臺了赠涮。

• Keycloak

  就是感覺有活力（11.2 K）子寓，集群簡單的配置就可以實現(xiàn)了。缺點就是重笋除，可是對我們這些開發(fā)者來說都不是事（不就是機器的問題嘛斜友，向客戶要）。

這兩個產(chǎn)品都不是我們今天要討論的主題垃它，今天的主題是：Camunda +AD FS鲜屏。

為什么必須是Camunda +AD FS架構(gòu)呢烹看？
因為企業(yè)已經(jīng)使用了 AD FS 作為單點登錄的，我們不可以讓客戶去換或者兼容其他的SSO洛史。

Camunda + ADFS

在全網(wǎng)進行搜索也沒有有關(guān) Camunda +AD FS 集成方案惯殊，唯一找到的是：Support for ADFS

Hi Akshay,

currently, Camunda only supports LDAP and it’s built-in database provider. However, you can write your own identity provider to work with ADFS. Please have a look at the docs 59. Otherwise, you can implement an import which loads the data to the built-in database provider (maybe periodically).

Does this help you?

Best regards,
Philipp

什么意思？

<u>自己編寫的身份提供者來使用ADFS也殖，感覺有眉目呢靠胜，而且說的有道理，那我們就擼起來吧毕源。</u>

我自己比較懶，不想動陕习，先想想怎么下手霎褐。如果按照上面的說法，自己實現(xiàn)身份提供邏輯该镣，那登錄界面會不會還會是ADFS登錄界面冻璃？

那我也不知道，只能看看自定義實現(xiàn)身份提供方案大體是怎么實現(xiàn)的损合∈⊙蓿看看docs 59.

重點是：org.camunda.bpm.engine.impl.identity.ReadOnlyIdentityProvider

boolean checkPassword(java.lang.String userId, java.lang.String password)

ReadOnlyIdentityProvider是Java接口，如果我們自己實現(xiàn)身份提供者嫁审，那么就只能實現(xiàn)此接口跋炕。其中checkPassword方法的2參數(shù)，就確認了登錄界面仍然是Camunda自帶的登錄界面律适，那么看來這個方案是走不通了辐烂。

可能會想？難道Camunda這么牛逼的流程引擎就沒考慮SSO捂贿？

先去社區(qū)或者GitHub看看目前Camunda提供的SSO方案纠修。

集成 SSO 方案

目前，Camunda社區(qū)提供的方案是：

camunda-sso-jboss
camunda-sso-jboss-enterprise-edition
camunda-sso-jboss-keycloak
camunda-sso-jboss-local-test-basic-auth
camunda-sso-jboss-local-test-basic-auth-ee
camunda-sso-jboss-local-test-basic-auth-groups
camunda-sso-weblogic
camunda-sso-weblogic-get-groups-from-container

https://github.com/camunda/camunda-sso-snippets

是沒有提供ADFS方案厂僧，那我們是不是就可以放棄了扣草？肯定是不能的，老板肯定不能放棄颜屠。

從社區(qū)提供的方案看辰妙，感覺camunda-sso-jboss-keycloak方案比較親切（個人感覺），那我們就從它下手吧汽纤。

從Example來看上岗，核心代碼就是下面這個類。

package com.camunda.consulting.sso_keycloak;

import java.util.ArrayList;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.camunda.bpm.engine.ProcessEngine;
import org.camunda.bpm.engine.rest.security.auth.AuthenticationProvider;
import org.camunda.bpm.engine.rest.security.auth.AuthenticationResult;
import org.keycloak.KeycloakPrincipal;

public class KeycloakAuthenticationProvider implements AuthenticationProvider {

  @Override
  public AuthenticationResult extractAuthenticatedUser(HttpServletRequest request, ProcessEngine engine) {
    #TODO 1
    KeycloakPrincipal<?> principal = (KeycloakPrincipal<?>) request.getUserPrincipal();

    if (principal == null) {
      return AuthenticationResult.unsuccessful();
    }

    String name = principal.getName();
    if (name == null || name.isEmpty()) {
      return AuthenticationResult.unsuccessful();
    }
    #TODO 2
    Set<String> roles = principal.getKeycloakSecurityContext().getToken().getRealmAccess().getRoles();
    
    AuthenticationResult result = AuthenticationResult.successful(name);
    result.setGroups(new ArrayList<String>(roles));
    return result;
  }

  @Override
  public void augmentResponseByAuthenticationChallenge(HttpServletResponse response, ProcessEngine engine) {
    // TODO Auto-generated method stub

  }

}

其重點就是：TODO 1 蕴坪、TODO 2肴掷，到這里我們就大概明白了敬锐，要實現(xiàn) camunda + ADFS 方案實際就是 Java(Servlet) + ADFS 。

Java + ADFS

有關(guān) Java 與 ADFS 集成方案呆瞻，目前網(wǎng)上的有關(guān)資料很多台夺。這里我就在網(wǎng)上找個合適的資料供參考。

大概說明：Microsoft MSAL JAVA ADFS Support

具體實現(xiàn)：Spring Boot Starter for Azure Active Directory developer's guide

示例：https://github.com/Azure-Samples/azure-spring-boot-samples

說句實話痴脾，要把這個集成好颤介，還是要認真看文檔。

本次收獲

把Camunda的官方文檔大體看了一遍赞赖，不是很認真滚朵，但是大概知道怎么搭建這個東西。重點了解到了 Zeebe（用于微服務(wù)編排的工作流引擎）前域，看著說明就感覺業(yè)務(wù)能力強勁辕近，當然實際玩的時候才能知道難度。雖然我自己能力比較弱匿垄，但是我覺得我有信心把它拿下移宅。

專業(yè)名稱解釋

<u>若英文看不懂就翻譯</u>

CAS：

Enterprise Single Sign-On - CAS provides a friendly open source community that actively supports and contributes to the project. While the project is rooted in higher-ed open source, it has grown to an international audience spanning Fortune 500 companies and small special-purpose installations.

https://www.apereo.org/projects/cas

ADFS：

Active Directory 聯(lián)合身份驗證服務(wù)

https://baike.baidu.com/item/ADFS/892989

Camunda：

A complete process automation tech stack with powerful execution engines for BPMN workflows and DMN decisions, combined with essential applications for modeling, operations, and analytics.

https://camunda.com/products/camunda-platform/

Zeebe:

Zeebe is the process automation engine powering Camunda Cloud. While written in Java, you do not need to be a Java developer to use Zeebe.