lib/controller/localdb/login.go

   1 // Copyright (C) The Arvados Authors. All rights reserved.
   2 //
   3 // SPDX-License-Identifier: AGPL-3.0
   4
   5 package localdb
   6
   7 import (
   8         "context"
   9         "database/sql"
  10         "encoding/json"
  11         "errors"
  12         "fmt"
  13         "net/http"
  14         "net/url"
  15         "strings"
  16
  17         "git.arvados.org/arvados.git/lib/controller/rpc"
  18         "git.arvados.org/arvados.git/lib/ctrlctx"
  19         "git.arvados.org/arvados.git/sdk/go/arvados"
  20         "git.arvados.org/arvados.git/sdk/go/auth"
  21         "git.arvados.org/arvados.git/sdk/go/httpserver"
  22 )
  23
  24 type loginController interface {
  25         Login(ctx context.Context, opts arvados.LoginOptions) (arvados.LoginResponse, error)
  26         Logout(ctx context.Context, opts arvados.LogoutOptions) (arvados.LogoutResponse, error)
  27         UserAuthenticate(ctx context.Context, options arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error)
  28 }
  29
  30 func chooseLoginController(cluster *arvados.Cluster, parent *Conn) loginController {
  31         wantGoogle := cluster.Login.Google.Enable
  32         wantOpenIDConnect := cluster.Login.OpenIDConnect.Enable
  33         wantSSO := cluster.Login.SSO.Enable
  34         wantPAM := cluster.Login.PAM.Enable
  35         wantLDAP := cluster.Login.LDAP.Enable
  36         wantTest := cluster.Login.Test.Enable
  37         wantLoginCluster := cluster.Login.LoginCluster != "" && cluster.Login.LoginCluster != cluster.ClusterID
  38         switch {
  39         case 1 != countTrue(wantGoogle, wantOpenIDConnect, wantSSO, wantPAM, wantLDAP, wantTest, wantLoginCluster):
  40                 return errorLoginController{
  41                         error: errors.New("configuration problem: exactly one of Login.Google, Login.OpenIDConnect, Login.SSO, Login.PAM, Login.LDAP, Login.Test, or Login.LoginCluster must be set"),
  42                 }
  43         case wantGoogle:
  44                 return &oidcLoginController{
  45                         Cluster:            cluster,
  46                         Parent:             parent,
  47                         Issuer:             "https://accounts.google.com",
  48                         ClientID:           cluster.Login.Google.ClientID,
  49                         ClientSecret:       cluster.Login.Google.ClientSecret,
  50                         AuthParams:         cluster.Login.Google.AuthenticationRequestParameters,
  51                         UseGooglePeopleAPI: cluster.Login.Google.AlternateEmailAddresses,
  52                         EmailClaim:         "email",
  53                         EmailVerifiedClaim: "email_verified",
  54                 }
  55         case wantOpenIDConnect:
  56                 return &oidcLoginController{
  57                         Cluster:            cluster,
  58                         Parent:             parent,
  59                         Issuer:             cluster.Login.OpenIDConnect.Issuer,
  60                         ClientID:           cluster.Login.OpenIDConnect.ClientID,
  61                         ClientSecret:       cluster.Login.OpenIDConnect.ClientSecret,
  62                         AuthParams:         cluster.Login.OpenIDConnect.AuthenticationRequestParameters,
  63                         EmailClaim:         cluster.Login.OpenIDConnect.EmailClaim,
  64                         EmailVerifiedClaim: cluster.Login.OpenIDConnect.EmailVerifiedClaim,
  65                         UsernameClaim:      cluster.Login.OpenIDConnect.UsernameClaim,
  66                 }
  67         case wantSSO:
  68                 return &ssoLoginController{Parent: parent}
  69         case wantPAM:
  70                 return &pamLoginController{Cluster: cluster, Parent: parent}
  71         case wantLDAP:
  72                 return &ldapLoginController{Cluster: cluster, Parent: parent}
  73         case wantTest:
  74                 return &testLoginController{Cluster: cluster, Parent: parent}
  75         case wantLoginCluster:
  76                 return &federatedLoginController{Cluster: cluster}
  77         default:
  78                 return errorLoginController{
  79                         error: errors.New("BUG: missing case in login controller setup switch"),
  80                 }
  81         }
  82 }
  83
  84 func countTrue(vals ...bool) int {
  85         n := 0
  86         for _, val := range vals {
  87                 if val {
  88                         n++
  89                 }
  90         }
  91         return n
  92 }
  93
  94 // Login and Logout are passed through to the parent's railsProxy;
  95 // UserAuthenticate is rejected.
  96 type ssoLoginController struct{ Parent *Conn }
  97
  98 func (ctrl *ssoLoginController) Login(ctx context.Context, opts arvados.LoginOptions) (arvados.LoginResponse, error) {
  99         return ctrl.Parent.railsProxy.Login(ctx, opts)
 100 }
 101 func (ctrl *ssoLoginController) Logout(ctx context.Context, opts arvados.LogoutOptions) (arvados.LogoutResponse, error) {
 102         return ctrl.Parent.railsProxy.Logout(ctx, opts)
 103 }
 104 func (ctrl *ssoLoginController) UserAuthenticate(ctx context.Context, opts arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error) {
 105         return arvados.APIClientAuthorization{}, httpserver.ErrorWithStatus(errors.New("username/password authentication is not available"), http.StatusBadRequest)
 106 }
 107
 108 type errorLoginController struct{ error }
 109
 110 func (ctrl errorLoginController) Login(context.Context, arvados.LoginOptions) (arvados.LoginResponse, error) {
 111         return arvados.LoginResponse{}, ctrl.error
 112 }
 113 func (ctrl errorLoginController) Logout(context.Context, arvados.LogoutOptions) (arvados.LogoutResponse, error) {
 114         return arvados.LogoutResponse{}, ctrl.error
 115 }
 116 func (ctrl errorLoginController) UserAuthenticate(context.Context, arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error) {
 117         return arvados.APIClientAuthorization{}, ctrl.error
 118 }
 119
 120 type federatedLoginController struct {
 121         Cluster *arvados.Cluster
 122 }
 123
 124 func (ctrl federatedLoginController) Login(context.Context, arvados.LoginOptions) (arvados.LoginResponse, error) {
 125         return arvados.LoginResponse{}, httpserver.ErrorWithStatus(errors.New("Should have been redirected to login cluster"), http.StatusBadRequest)
 126 }
 127 func (ctrl federatedLoginController) Logout(_ context.Context, opts arvados.LogoutOptions) (arvados.LogoutResponse, error) {
 128         return noopLogout(ctrl.Cluster, opts)
 129 }
 130 func (ctrl federatedLoginController) UserAuthenticate(context.Context, arvados.UserAuthenticateOptions) (arvados.APIClientAuthorization, error) {
 131         return arvados.APIClientAuthorization{}, httpserver.ErrorWithStatus(errors.New("username/password authentication is not available"), http.StatusBadRequest)
 132 }
 133
 134 func noopLogout(cluster *arvados.Cluster, opts arvados.LogoutOptions) (arvados.LogoutResponse, error) {
 135         target := opts.ReturnTo
 136         if target == "" {
 137                 if cluster.Services.Workbench2.ExternalURL.Host != "" {
 138                         target = cluster.Services.Workbench2.ExternalURL.String()
 139                 } else {
 140                         target = cluster.Services.Workbench1.ExternalURL.String()
 141                 }
 142         }
 143         return arvados.LogoutResponse{RedirectLocation: target}, nil
 144 }
 145
 146 func (conn *Conn) CreateAPIClientAuthorization(ctx context.Context, rootToken string, authinfo rpc.UserSessionAuthInfo) (resp arvados.APIClientAuthorization, err error) {
 147         if rootToken == "" {
 148                 return arvados.APIClientAuthorization{}, errors.New("configuration error: empty SystemRootToken")
 149         }
 150         ctxRoot := auth.NewContext(ctx, &auth.Credentials{Tokens: []string{rootToken}})
 151         newsession, err := conn.railsProxy.UserSessionCreate(ctxRoot, rpc.UserSessionCreateOptions{
 152                 // Send a fake ReturnTo value instead of the caller's
 153                 // opts.ReturnTo. We won't follow the resulting
 154                 // redirect target anyway.
 155                 ReturnTo: ",https://controller.api.client.invalid",
 156                 AuthInfo: authinfo,
 157         })
 158         if err != nil {
 159                 return
 160         }
 161         target, err := url.Parse(newsession.RedirectLocation)
 162         if err != nil {
 163                 return
 164         }
 165         token := target.Query().Get("api_token")
 166         tx, err := ctrlctx.CurrentTx(ctx)
 167         if err != nil {
 168                 return
 169         }
 170         tokensecret := token
 171         if strings.Contains(token, "/") {
 172                 tokenparts := strings.Split(token, "/")
 173                 if len(tokenparts) >= 3 {
 174                         tokensecret = tokenparts[2]
 175                 }
 176         }
 177         var exp sql.NullString
 178         var scopes []byte
 179         err = tx.QueryRowxContext(ctx, "select uuid, api_token, expires_at, scopes from api_client_authorizations where api_token=$1", tokensecret).Scan(&resp.UUID, &resp.APIToken, &exp, &scopes)
 180         if err != nil {
 181                 return
 182         }
 183         resp.ExpiresAt = exp.String
 184         if len(scopes) > 0 {
 185                 err = json.Unmarshal(scopes, &resp.Scopes)
 186                 if err != nil {
 187                         return resp, fmt.Errorf("unmarshal scopes: %s", err)
 188                 }
 189         }
 190         return
 191 }