基于SAML的单点登录介绍

最新推荐文章于 2023-06-06 17:28:13 发布
最新推荐文章于 2023-06-06 17:28:13 发布
阅读量746 收藏
点赞数
分类专栏: Security

一、背景知识:

      SAML即安全断言标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。

    SAML(Security Assertion Markup Language)是一个XML框架,也就是一组协议,可以用来传输安全声明。比如,两台远程机器之间要通讯,为了保证安全,我们可以采用加密等措施,也可以采用SAML来传输,传输的数据以XML形式,符合SAML规范,这样我们就可以不要求两台机器采用什么样的系统,只要求能理解SAML规范即可,显然比传统的方式更好。SAML 规范是一组Schema 定义。

可以这么说,在Web Service 领域,schema就是规范,在Java领域,API就是规范。

  SAML 作用

SAML 主要包括三个方面:

1.认证申明。表明用户是否已经认证,通常用于单点登录。

2.属性申明。表明 某个Subject 的属性。

3.授权申明。表明 某个资源的权限。

  SAML框架

SAML就是客户向服务器发送SAML 请求,然后服务器返回SAML响应。数据的传输以符合SAML规范的XML格式表示。

SAML 可以建立在SOAP上传输,也可以建立在其他协议上传输。

因为SAML的规范由几个部分构成:SAML Assertion,SAML Prototol,SAML binding等

  安全
由于SAML在两个拥有共享用户的站点间建立了信任关系,所以安全性是需考虑的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息。SAML依靠一批制定完善的安全标准,包括SSL和X.509,来保护SAML源站点和目标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。为确保参与SAML交互的双方站点都能验证对方的身份,还使用了证书。

   应用

   目前SAML已经在很多商业/开源产品得到应用推广,主要有:

IBM Tivoli Access Manager
Weblogic
Oblix NetPoint
SunONE Identity Server
Baltimore, SelectAccess
Entegrity Solutions AssureAccess
Internet2 OpenSAML
Yale CAS 3
Netegrity SiteMinder
Sigaba Secure Messaging Solutions
RSA Security ClearTrust
VeriSign Trust Integration Toolkit
Entrust GetAccess 7

 

二、基于 SAML的SSO

下面简单介绍使用基于SAML的SSO登录到WebApp1的过程(下图源自SAML 的 Google Apps SSO,笔者偷懒,简单做了修改)

saml_workflow_vertical2

 

此图片说明了以下步骤。

  1. 用户尝试访问WebApp1。
  2. WebApp1 生成一个 SAML 身份验证请求。SAML 请求将进行编码并嵌入到SSO 服务的网址中。包含用户尝试访问的 WebApp1 应用程序的编码网址的 RelayState 参数也会嵌入到 SSO 网址中。该 RelayState 参数作为不透明标识符,将直接传回该标识符而不进行任何修改或检查。
  3. WebApp1将重定向发送到用户的浏览器。重定向网址包含应向SSO 服务提交的编码 SAML 身份验证请求。
  4. SSO(统一认证中心或叫Identity Provider)解码 SAML 请求,并提取 WebApp1的 ACS(声明客户服务)网址以及用户的目标网址(RelayState 参数)。然后,统一认证中心对用户进行身份验证。统一认证中心可能会要求提供有效登录凭据或检查有效会话 Cookie 以验证用户身份。
  5. 统一认证中心生成一个 SAML 响应,其中包含经过验证的用户的用户名。按照 SAML 2.0 规范,此响应将使用统一认证中心的 DSA/RSA 公钥和私钥进行数字签名。
  6. 统一认证中心对 SAML 响应和 RelayState 参数进行编码,并将该信息返回到用户的浏览器。统一认证中心提供了一种机制,以便浏览器可以将该信息转发到 WebApp1 ACS。
  7. WebApp1使用统一认证中心的公钥验证 SAML 响应。如果成功验证该响应,ACS 则会将用户重定向到目标网址。
  8. 用户将重定向到目标网址并登录到 WebApp1。
zhigangsun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
opensaml-api
11-05
opensaml-api
深入浅出SAML协议
日薪灬越亿的博客
03-15 1万+
SAML概述 SAML(Security Assertion Markup Language 安全断言标记语言)是一个基于XML的开源标准数据格式,为在安全域间交换身份认证和授权数据,尤其是在IDP(Identity Provider身份提供方)和SP(Service Provider 服务提供方)之间。SAML是OASIS(Organization for the Advancement of Structured Information Standards 安全服务技术委员会)制定的标准,始于2001
【分布式技术专题】「单点登录技术架构」一文带领你好好认识以下Saml协议的运作机制和流程模式
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
04-10 7235
如果您的应用程序是以多租户方式设置的,并且在URL中包含域信息(例如,使用https://domain1.example.com或https://www.example.com/domain1),),则每个子域都有一个ACSURL端点可能是个不错的选择,因为URL本身可以标识该域。通常,在用户通过身份验证后,浏览器将转到SP中的通用登录页。即使在目的是让特定租户的所有用户都启用SAML的情况下,在概念验证、测试和推出期间只启用部分用户,以便在对所有用户启用之前测试较小的用户子集的身份验证,也可能是有用的。
SAML协议 — 理解SAML2 协议和联合身份验证流程
qq_38658567的博客
05-18 4001
SAML 2.0 是许多身份验证提供商(Identity Provider, IdP)使用的一种开放标准。使用身份提供商可实现联合单点登录(Federated Single Sign-on, SSO)
基于SAML 2.0 SSO单点登录
01-23
基于SAML 2.0 SSO单点登录,包括VS2005,VS2008,VS2010。有部分Java代码。含文档。 client发送saml请求---sso响应验证client是否可信任---可信响应saml----加密saml---发送到client---client解密成功--验证信息...
基于Java EE的单点登录技术研究与实现
01-29
文章针对多个应用系统的复杂登录问题,介绍单点登录系统,并阐述了单点登录的几种模型分类,在此基础上重点介绍了基于Cookie机制的单点登录和基于SAML单点登录。基于这两种实现方式,本文进行了单点登录系统设计...
论文研究-基于SAML2.0的跨域单点登录模型的设计 .pdf
08-16
基于SAML2.0的跨域单点登录模型的设计,姜露,龙毅宏,跨域单点登录主要是实现不同域之间用户身份的单一认证,从而实现用户的单点登录和组织间的资源共享。SAML2.0统一了5个互不兼容的协议
PHP简单实现单点登录功能示例
10-18
主要介绍了PHP简单实现单点登录功能,结合实例形式分析了php基于session控制实现单点登录的相关操作技巧,需要的朋友可以参考下
spring+springMvc简单实现SSO单点登录
03-02
利用springMvc 实现的简单的单点登录Demo,内含三个小Mavn项目分别是 1、认证中心SSOServer 2、子系统1SSOClient1 3、子系统2SSOClient2 文章请参考 http://blog.csdn.net/qq_31183297/article/details/79419222
走进SAML——基础篇
义臻的博客
11-08 3134
SAML的全称是Security Assertion Markup Language。提到SAML,我们主要想到的是其在各种单点登录场景中大行其道。单点登录我们通常叫做SSO,那么SAML到底是如何实现SSO的呢?在这个系列的文章中,我将为大家阐释清楚。不过,水是有源的,树是有根的。一切的一切,还得从非对称密码学谈起! 密码学新方向 1976年,两个斯坦福大学的杰出学者,在经过了三年的合作之后......
基于SAML单点登录/登出基本原理
cqwei1987的博客
07-02 3548
本文简单介绍了基于SAML单点登录系统
深入浅出单点登录---3、基于SAML实现的统一认证
u014526891的博客
03-14 1万+
概述 SAML 2.0 用来在安全域中交换身份验证(Authentication)数据和 授权(Authorization)数据。SAML 2.0基于 XML协议,使用包含断言(Assertions)的安全令牌在SAML授权方(即身份提供者IdP)和SAML消费方(即服务 提供者SP)之间传递委托人(终端用户)的信息。 SAML 2.0 可以实现基于网络跨域的单点登录(SSO), 以便于减少向一个用户分发多个身份验证令牌的管理开销。 什么是断言 断言是一个包含了由SAML授权方提供的0到多个声明(state
SAML
qq_36972185的博客
05-07 459
SAML SAML(Security Assertion Markup Language)是一个基于XML的开源标准数据格式,它在当事方之间交换身份验证和授权数据,尤其是在身份提供者和服务提供者之间交换。SAML2.0可以实现基于网络跨域的单点登录(SSO),以便于减少向一个用户分发多个身份验证令牌的管理开销。 SAML协议中涉及两个主体: SP(Service Provider),服务提供方。例如阿里云控制台、腾讯云控制台。 IDP(Identity Provider),身份提供方。身份提供方能够向SP发
okta/sf平台实现saml2.0单点登录集成实战(详细步骤+完整代码)
最新发布
bigbearxyz的博客
06-06 3075
步骤详细的完全实战文章,基于Springboot+SpringSecurity+Saml2.0实现单点登录
SAML2.0 笔记(一)
CoffeeAndIce的博客
06-21 5114
主要针对SAML基础概念和说明,梳理基础轮廓
SAML Web SSO学习
热门推荐
冰冻三尺非一日之寒
03-26 2万+
SAML即安全声明标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(securitydomain)之间交换认证和授权数据。
SSO单点登录,实现对接SAML 协议对接IDP, 实现可拆解的SP服务
每天码一点
09-14 6647
​ 主流的单点登录有 CAS ,Auth2.0, SAML 等,用户可以登录一次就直接使用多个SP(Service Provider 业务提供方)的服务,免去了每个应用都要登录的烦恼,
X509证书认证原理
dandingwangzi的专栏
02-10 1447
X.509证书认证原理
saml单点登录项目模板网站
05-29
1. Spring Security SAML:Spring Security SAML 是一个基于 Spring Framework 的 SAML 单点登录项目模板网站,提供了一些示例代码和配置文件,可以快速集成到现有的 Spring 应用程序中。 2. SimpleSAMLphp:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值