lib/controller/localdb/login.go

   1 // Copyright (C) The Arvados Authors. All rights reserved.
   2 //
   3 // SPDX-License-Identifier: AGPL-3.0
   4
   5 package localdb
   6
   7 import (
   8         "context"
   9         "errors"
  10         "net/http"
  11         "net/url"
  12
  13         "git.arvados.org/arvados.git/lib/controller/rpc"
  14         "git.arvados.org/arvados.git/sdk/go/arvados"
  15         "git.arvados.org/arvados.git/sdk/go/auth"
  16         "git.arvados.org/arvados.git/sdk/go/httpserver"
  17 )
  18
  19 type loginController interface {
  20         Login(ctx context.Context, opts arvados.LoginOptions) (arvados.LoginResponse, error)
  21         Logout(ctx context.Context, opts arvados.LogoutOptions) (arvados.LogoutResponse, error)
  22         UserAuthenticate(ctx context.Context, options arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error)
  23 }
  24
  25 func chooseLoginController(cluster *arvados.Cluster, railsProxy *railsProxy) loginController {
  26         wantGoogle := cluster.Login.Google.Enable
  27         wantOpenIDConnect := cluster.Login.OpenIDConnect.Enable
  28         wantSSO := cluster.Login.SSO.Enable
  29         wantPAM := cluster.Login.PAM.Enable
  30         wantLDAP := cluster.Login.LDAP.Enable
  31         switch {
  32         case wantGoogle && !wantOpenIDConnect && !wantSSO && !wantPAM && !wantLDAP:
  33                 return &oidcLoginController{
  34                         Cluster:            cluster,
  35                         RailsProxy:         railsProxy,
  36                         Issuer:             "https://accounts.google.com",
  37                         ClientID:           cluster.Login.Google.ClientID,
  38                         ClientSecret:       cluster.Login.Google.ClientSecret,
  39                         UseGooglePeopleAPI: cluster.Login.Google.AlternateEmailAddresses,
  40                 }
  41         case !wantGoogle && wantOpenIDConnect && !wantSSO && !wantPAM && !wantLDAP:
  42                 return &oidcLoginController{
  43                         Cluster:      cluster,
  44                         RailsProxy:   railsProxy,
  45                         Issuer:       cluster.Login.OpenIDConnect.Issuer,
  46                         ClientID:     cluster.Login.OpenIDConnect.ClientID,
  47                         ClientSecret: cluster.Login.OpenIDConnect.ClientSecret,
  48                 }
  49         case !wantGoogle && !wantOpenIDConnect && wantSSO && !wantPAM && !wantLDAP:
  50                 return &ssoLoginController{railsProxy}
  51         case !wantGoogle && !wantOpenIDConnect && !wantSSO && wantPAM && !wantLDAP:
  52                 return &pamLoginController{Cluster: cluster, RailsProxy: railsProxy}
  53         case !wantGoogle && !wantOpenIDConnect && !wantSSO && !wantPAM && wantLDAP:
  54                 return &ldapLoginController{Cluster: cluster, RailsProxy: railsProxy}
  55         default:
  56                 return errorLoginController{
  57                         error: errors.New("configuration problem: exactly one of Login.Google, Login.OpenIDConnect, Login.SSO, Login.PAM, and Login.LDAP must be enabled"),
  58                 }
  59         }
  60 }
  61
  62 // Login and Logout are passed through to the wrapped railsProxy;
  63 // UserAuthenticate is rejected.
  64 type ssoLoginController struct{ *railsProxy }
  65
  66 func (ctrl *ssoLoginController) UserAuthenticate(ctx context.Context, opts arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error) {
  67         return arvados.APIClientAuthorization{}, httpserver.ErrorWithStatus(errors.New("username/password authentication is not available"), http.StatusBadRequest)
  68 }
  69
  70 type errorLoginController struct{ error }
  71
  72 func (ctrl errorLoginController) Login(context.Context, arvados.LoginOptions) (arvados.LoginResponse, error) {
  73         return arvados.LoginResponse{}, ctrl.error
  74 }
  75 func (ctrl errorLoginController) Logout(context.Context, arvados.LogoutOptions) (arvados.LogoutResponse, error) {
  76         return arvados.LogoutResponse{}, ctrl.error
  77 }
  78 func (ctrl errorLoginController) UserAuthenticate(context.Context, arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error) {
  79         return arvados.APIClientAuthorization{}, ctrl.error
  80 }
  81
  82 func noopLogout(cluster *arvados.Cluster, opts arvados.LogoutOptions) (arvados.LogoutResponse, error) {
  83         target := opts.ReturnTo
  84         if target == "" {
  85                 if cluster.Services.Workbench2.ExternalURL.Host != "" {
  86                         target = cluster.Services.Workbench2.ExternalURL.String()
  87                 } else {
  88                         target = cluster.Services.Workbench1.ExternalURL.String()
  89                 }
  90         }
  91         return arvados.LogoutResponse{RedirectLocation: target}, nil
  92 }
  93
  94 func createAPIClientAuthorization(ctx context.Context, conn *rpc.Conn, rootToken string, authinfo rpc.UserSessionAuthInfo) (arvados.APIClientAuthorization, error) {
  95         ctxRoot := auth.NewContext(ctx, &auth.Credentials{Tokens: []string{rootToken}})
  96         resp, err := conn.UserSessionCreate(ctxRoot, rpc.UserSessionCreateOptions{
  97                 // Send a fake ReturnTo value instead of the caller's
  98                 // opts.ReturnTo. We won't follow the resulting
  99                 // redirect target anyway.
 100                 ReturnTo: ",https://none.invalid",
 101                 AuthInfo: authinfo,
 102         })
 103         if err != nil {
 104                 return arvados.APIClientAuthorization{}, err
 105         }
 106         target, err := url.Parse(resp.RedirectLocation)
 107         if err != nil {
 108                 return arvados.APIClientAuthorization{}, err
 109         }
 110         token := target.Query().Get("api_token")
 111         return conn.APIClientAuthorizationCurrent(auth.NewContext(ctx, auth.NewCredentials(token)), arvados.GetOptions{})
 112 }