配置 simplesamlphp 快速实现SAML 2.0 SSO

最新推荐文章于 2021-05-17 21:59:53 发布
最新推荐文章于 2021-05-17 21:59:53 发布
阅读量2k 收藏 3
点赞数
文章标签: php ldap 数据库
原文链接:https://my.oschina.net/shanpeng921/blog/1647860
版权
本文介绍了SAML 2.0安全声明标记语言及其工作流程,并详细阐述了如何配置开源项目simplesamlphp以实现与oracle HRIS系统的统一登录。涉及的主要步骤包括安装、配置LDAP、生成秘钥、设置IDP和SP,以及进行测试。通过设置SHA-256提高安全性。
摘要由CSDN通过智能技术生成

SAML即安全声明标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。【百度百科】

SAML的流程

此图片说明了以下步骤。

  1. 用户尝试访问WebApp1。
  2. WebApp1 生成一个 SAML 身份验证请求。SAML 请求将进行编码并嵌入到SSO 服务的网址中。包含用户尝试访问的 WebApp1 应用程序的编码网址的 RelayState 参数也会嵌入到 SSO 网址中。该 RelayState 参数作为不透明标识符,将直接传回该标识符而不进行任何修改或检查。
  3. WebApp1将重定向发送到用户的浏览器。重定向网址包含应向SSO 服务提交的编码 SAML 身份验证请求。
  4. SSO(统一认证中心或叫Identity Provider)解码 SAML 请求,并提取 WebApp1的 ACS(声明客户服务)网址以及用户的目标网址(RelayState 参数)。然后,统一认证中心对用户进行身份验证。统一认证中心可能会要求提供有效登录凭据或检查有效会话 Cookie 以验证用户身份。
  5. 统一认证中心生成一个 SAML 响应,其中包含经过验证的用户的用户名。按照 SAML 2.0 规范,此响应将使用统一认证中心的 DSA/RSA 公钥和私钥进行数字签名。
  6. 统一认证中心对 SAML 响应和 RelayState 参数进行编码,并将该信息返回到用户的浏览器。统一认证中心提供了一种机制,以便浏览器可以将该信息转发到 WebApp1 ACS。
  7. WebApp1使用统一认证中心的公钥验证 SAML 响应。如果成功验证该响应,ACS 则会将用户重定向到目标网址。
  8. 用户将重定向到目标网址并登录到 WebApp1。

 

最近在做内部系统与oracle HRIS系统的统一登录,用到了SAML协议。在重构内网SSO登录中使用了开源的simplessamlphp项目。下面大致讲解一下这个项目配置的过程以及需要注意的一些问题。

安装配置simplesamlphp

下载地址

https://simplesamlphp.org/download

解压放置到网站目录,网站配置过程不再赘述。

配置ladp

config/config.php文件

 'example-ldap' => array(
        'ldap:LDAP',

        // Give the user an option to save their username for future login attempts
        // And when enabled, what should the default be, to save the username or not
        //'remember.username.enabled' => FALSE,
        //'remember.username.checked' => FALSE,

        // The hostname of the LDAP server.
        'hostname' => '10.*.*.*',

        // Whether SSL/TLS should be used when contacting the LDAP server.
        'enable_tls' => FALSE,

        // Whether debug output from the LDAP library should be enabled.
        // Default is FALSE.
        'debug' => FALSE,

        // The timeout for accessing the LDAP server, in seconds.
        // The default is 0, which means no timeout.
        'timeout' => 0,

        // The port used when accessing the LDAP server.
        // The default is 389.
        'port' => 389,

        // Set whether to follow referrals. AD Controllers may require FALSE to function.
        'referrals' => TRUE,

        // Which attributes should be retrieved from the LDAP server.
        // This can be an array of attribute names, or NULL, in which case
        // all attributes are fetched.
        &
最低0.47元/天 解锁文章
chikang9067
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
simplesamlphp 配置,安装,SP版本
小小寂寞的城 的博客
03-15 2686
在上一篇中我简单配置saml 的idp版本,接着再配置安装一个simplesamlphp 作为服务提供商SP 身份提供商IDP配置 再次准备一份原始的simplesamlphp
simplesamlphp SSO 单点登录配置,demo
小小寂寞的城 的博客
03-15 4170
这是第三部分,主要介绍一款精简封装后的插件— onelogin 第一部分:身份提供商IDP配置 第二部分:服务提供商SP配置 onelogin我们可以看做是我们的SP部分,可以集成到我们框架中,支持git下载,composerd等,地址:https://github.com/onelogin/php-saml zip下载的是老版本,在其中还包括了demo帮助我们理解,非常赞,我主要说下配置及原理 ...
saml2:SimpleSAMLphp低级SAML2 PHP
02-03
SimpleSAMLphp SAML2库 用于SAML2相关功能PHP库。 它被几种产品使用,最著名的是和 。 使用之前 除非您非常熟悉SAML2规格,否则请勿使用此库。 如果您不熟悉SAML2规范,而只是想使用SAML2连接应用程序,则可能应该使用 。 请注意, HTTP Artifact Binding和SOAP客户端在SimpleSAMLphp之外不起作用。 选择哪个版本? 首选版本是最新发行的版本( 4.x范围)。 3.x branch是我们的LTS分支,只要受支持的版本正在使用此分支就将受到支持。 所有其他分支( 2.x和更早版本)将不再受支持,并且将不会收到任何维护或(安全)修复程序。 不要使用这些版本。 我们符合。 如果要从旧版本升级,请确保检查文件。 在这里,您将找到有关如何处理版本之间的BC重大更改的说明。 用法 使用安装,在项目中运行以下命令: composer require simplesamlphp/saml2:^4.0 通过扩展和实现\SimpleSAML\SAML2\Compat\AbstractContainer然后将其注入Contai
php 使用saml,php – 使用SimpleSAML作为SP和IDP用于开发环境
weixin_33645583的博客
03-10 723
我正在尝试使用我的网络应用程序中的SAML进行身份验证.Backtrace:1 /app_path/application/lib/simplesamlPHP/www/_include.PHP:37 (SimpleSAML_exception_handler)0 [builtin] (N/A)Caused by: Exception: Unable to find the current bind...
Simplesamlphp
Kalong Room
05-17 412
Simplesamlphp 安装: 下载:https://simplesamlphp.org/ cd /opt/www/html tar xzf simplesamlphp-x.y.z.tar.gz mv simplesamlphp-x.y.z samlldp 设置Apache设置: Alias /samlsp /opt/www/html/samlsp/www Alias /samlldp /opt/www/html/samlldp/www <Directory ...
php 使用saml,php-saml
weixin_36225248的博客
03-10 1466
OneLogin's SAML PHP Toolkit Add SAML support to your PHP software using this library.Forget those complicated libraries and use this open source library providedand supported by OneLogin Inc.The 3.X ...
基于SAML 2.0 SSO单点登录
01-23
基于SAML 2.0 SSO单点登录,包括VS2005,VS2008,VS2010。有部分Java代码。含文档。 client发送saml请求---sso响应验证client是否可信任---可信响应saml----加密saml---发送到client---client解密成功--验证信息...
SAML.rar_Java 8_saml_saml webservice_saml2.0_saml协议
最新发布
09-20
3、SAML2.0特性分析 4、SAML:集中身份管理的秘诀 5、SAML:企业级的IdP 6、SAML:IdP和SP用户存储库 7、XML安全:使用SAML确保可移植的信任 8、揭开SAML的神秘面纱 9、安全地共享数字身份信息(一) 10、安全地共享...
AspNetSaml:适用于ASP.NETC#的非常简单的SAML 2.0使用者模块
04-29
C#中非常简单的SAML 2.0“消费者”实现。 这是一个SAML客户端库,而不是SAML服务器,它允许向您的ASP.NET应用程序添加SAML单点登录,但不能向其他应用程序提供身份验证服务。 安装 由一个简短的C#文件组成,您...
spring-boot-security-saml-sample:SBS3 —基于Spring Boot构建的示例SAML 2.0服务提供程序
01-30
[SBS3] Spring Boot示例SAML 2.0服务提供程序项目描述该项目代表完全基于Spring Framework构建的SAML 2.0 Service Provider的示例实现。 特别是,它展示了如何通过集成Spring Boot和Spring Security SAML开发为联合...
saml2, SimpleSAMLphp低级别 SAML2 PHP库.zip
09-18
saml2, SimpleSAMLphp低级别 SAML2 PHPSimpleSAMLphp SAML2库 用于SAML2相关功能的PHP库。 从 SimpleSAMLphp 提取,由 OpenConext使用。 这个库作为和的合作开始,但是每个人都被邀请贡献这个库。在使用之前除非你对规范
simplesamlphpSimpleSAMLphp是使用本机PHP编写的屡获殊荣的应用程序,用于处理身份验证
02-05
SimpleSAMLphp 这是SimpleSAMLphp软件的官方存储库。 请!
wp-simple-saml:WordPress简单SAML插件
02-05
WordPress简单SAML 易于使用的WordPress单点登录(SSOSAML集成插件,具有多站点/多网络支持。 项目。 由维护。 WordPress Simple SAML是一个灵活,可扩展的SAML集成插件,它可以完成大部分繁重的工作,同时通过整个插件中的操作和过滤器使所有内容都可配置。 该插件支持多站点网络以及跨网络SSO委派。 可以安装在站点级别或网络级别。 WordPress简单SAML使用工具包进行SAML API集成。 设定 将插件文件复制到wp-content/plugins目录 激活插件 转到。 将服务提供者元数据URL(或内容)发送给您的身份提供者授权(I
okta-simplesamlphp-example:使用SimpleSAMLphp的示例PHP应用程序
05-04
介绍 这是一个示例PHP应用程序,它利用库支持SAML单点登录。 要求 此示例应用程序依赖于安装在“ ../simplesamlphp”中的SimpleSAMLphp。 意味着,此示例希望将SimpleSAMLphp从该示例上一级安装到名为“ simplesamlphp”的文件夹中。 设置Okta 在配置应用程序SimpleSAMLphp之前,您需要设置一个Okta“ ”(应用程序图标),使Okta用户可以使用SAMLSimpleSAMLphp登录到您的应用程序。 要设置Okta以连接到您的应用程序,请遵循指南中的。 如说明中所述,有两个更改步骤: 在步骤6中: 使用“ SimpleSAMLphp示例”代替“示例SAML应用程序”。 在步骤7中: 输入网址时 http://example.com/saml/sso/example-okta-com 而是使用以下命令: 对于
SAML2.0 简介
03-23
因此,SAML 2.0 实现SAML 1.1、Liberty ID-FF 1.2 以及 Shibboleth 1.3 等多种标准的融合。 #### SAML 2.0 断言 SAML 2.0 断言是用于描述用户认证状态的数据包,通常包括主体的属性、认证方式以及认证时间等...
php 解析 saml协议,SAML2.0 协议初识(二)---Service Provider(SP)
weixin_31899235的博客
03-25 992
上一节,我们初步认识了 SAML 协议的概念和工作流程,这一节将介绍 SP 端的一些细节。通常情况下,SP 端是请求发起端,即当用户访问 SP 端的受保护资源时,由 SP 端向认证中心(IDP 端)发起认证请求。最终请求会回到 SP 端并由 SP 端将受保护资源授权给用户。假设,SP 有一受保护静态资源 index.html,通常情况下,为了保护该静态资源,SP 可以选择用过滤器对访问该资源的请求...
php 使用saml,SimpleSamlPHP-生成SP元数据
weixin_42173218的博客
03-10 477
我正在使用SimpleSamlPHP库为我的客户端实现SAML 2.0 SSO.我的客户已经共享了他们的IdP元数据,我已经实现了它.现在他们(当然)需要我提供SP的元数据.SimpleSamlPHP提供了一个非常用户友好的转换器(在simplesamlphp / www / admin / metadata-converter.php中找到该转换器),您可以使用该转换器将IdP元数据XML转换为...
PHP使用基于SMAL协议的AzureAD认证实现SSO
团子窝
08-09 1852
Azure Active Directory (Azure AD) 是 Microsoft 提供的多租户、基于云的目录和标识管理服务。Azure AD 将核心目录服务、应用程序访问管理和标识保护组合到一个解决方案中,提供基于标准的平台,帮助开发人员根据集中策略和规则为其应用程序提供访问控制。 SAML 即安全断言标记语言,英文全称是 Security Assertion Markup Langu...
Microsoft Azure PHP SAML SSO配置
团子窝
11-19 755
登录https://portal.azure.com/ 进入控制台 点击 Azure Active Directory 点击 企业应用程序 点击 新建应用程序 点击 非库应用程序 选择 应用是否需要分配用户登录, 如果需要的话则需要 分配用户和组 点击 设置单一登陆 我这里选择 SAML, 进行配置, 详细配置可以看我之前的一篇文章 https://b...
SAML2.0:安全断言标记语言详解
SAML2.0旨在提供身份验证、属性和授权结果的标准化表示方式,支持单点登录(SSO)和其他身份管理功能。它由三部分组成:SAML断言、SAML协议和SAML绑定。" SAML断言是SAML的核心,定义了一套XML编码格式,用于表述关于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值