基于SAML的单点登录介绍

一、背景知识:

      SAML即安全断言标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。

    SAML(Security Assertion Markup Language)是一个XML框架,也就是一组协议,可以用来传输安全声明。比如,两台远程机器之间要通讯,为了保证安全,我们可以采用加密等措施,也可以采用SAML来传输,传输的数据以XML形式,符合SAML规范,这样我们就可以不要求两台机器采用什么样的系统,只要求能理解SAML规范即可,显然比传统的方式更好。SAML 规范是一组Schema 定义。

可以这么说,在Web Service 领域,schema就是规范,在Java领域,API就是规范。

  SAML 作用

SAML 主要包括三个方面:

1.认证申明。表明用户是否已经认证,通常用于单点登录。

2.属性申明。表明 某个Subject 的属性。

3.授权申明。表明 某个资源的权限。

  SAML框架

SAML就是客户向服务器发送SAML 请求,然后服务器返回SAML响应。数据的传输以符合SAML规范的XML格式表示。

SAML 可以建立在SOAP上传输,也可以建立在其他协议上传输。

因为SAML的规范由几个部分构成:SAML Assertion,SAML Prototol,SAML binding等

  安全 
由于SAML在两个拥有共享用户的站点间建立了信任关系,所以安全性是需考虑的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息。SAML依靠一批制定完善的安全标准,包括SSL和X.509,来保护SAML源站点和目标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。为确保参与SAML交互的双方站点都能验证对方的身份,还使用了证书。

   应用

   目前SAML已经在很多商业/开源产品得到应用推广,主要有:

IBM Tivoli Access Manager 
Weblogic 
Oblix NetPoint 
SunONE Identity Server 
Baltimore, SelectAccess 
Entegrity Solutions AssureAccess 
Internet2 OpenSAML 
Yale CAS 3 
Netegrity SiteMinder 
Sigaba Secure Messaging Solutions 
RSA Security ClearTrust 
VeriSign Trust Integration Toolkit 
Entrust GetAccess 7

 

二、基于 SAML的SSO

下面简单介绍使用基于SAML的SSO登录到WebApp1的过程(下图源自SAML 的 Google Apps SSO,笔者偷懒,简单做了修改)

saml_workflow_vertical2

 

此图片说明了以下步骤。

  1. 用户尝试访问WebApp1。
  2. WebApp1 生成一个 SAML 身份验证请求。SAML 请求将进行编码并嵌入到SSO 服务的网址中。包含用户尝试访问的 WebApp1 应用程序的编码网址的 RelayState 参数也会嵌入到 SSO 网址中。该 RelayState 参数作为不透明标识符,将直接传回该标识符而不进行任何修改或检查。
  3. WebApp1将重定向发送到用户的浏览器。重定向网址包含应向SSO 服务提交的编码 SAML 身份验证请求。
  4. SSO(统一认证中心或叫Identity Provider)解码 SAML 请求,并提取 WebApp1的 ACS(声明客户服务)网址以及用户的目标网址(RelayState 参数)。然后,统一认证中心对用户进行身份验证。统一认证中心可能会要求提供有效登录凭据或检查有效会话 Cookie 以验证用户身份。
  5. 统一认证中心生成一个 SAML 响应,其中包含经过验证的用户的用户名。按照 SAML 2.0 规范,此响应将使用统一认证中心的 DSA/RSA 公钥和私钥进行数字签名。
  6. 统一认证中心对 SAML 响应和 RelayState 参数进行编码,并将该信息返回到用户的浏览器。统一认证中心提供了一种机制,以便浏览器可以将该信息转发到 WebApp1 ACS。
  7. WebApp1使用统一认证中心的公钥验证 SAML 响应。如果成功验证该响应,ACS 则会将用户重定向到目标网址。
  8. 用户将重定向到目标网址并登录到 WebApp1。

 

三、开源资源:

1,SAML SSO for ASP.NET 
http://samlsso.codeplex.com/

      其中SAML组件使用的是ComponentSpace SAML v2.0 for .NET,此组件貌似是澳洲一家公司开发的,收费,但不贵。

里边有VS05,08,10的例子(部分例子是C#,部分是vb.net),也有java调用.net SSO的例子。

2,a set of WinForms and WebForms SAML demos with Full Source Code

 http://samlclients.codeplex.com/

     此开源项目采用的是UltimateSaml.dll SAML组件,但不开源。里边同时有C#、Vb.net的例子,Webform及winform的例子。

四、网友的文章推荐:

  1. 揭开SAML的神秘面纱(转) 
    http://www.cnblogs.com/perfectdesign/archive/2008/04/10/saml_federation.html
  2. Web 单点登录系统 
    http://blog.csdn.net/shanyou/article/details/5372233
  3. 基于SAML的单点登录.NET代理端实现方案 
    http://www.cnblogs.com/jingtao/archive/2011/03/18/1988435.html
  4. SAML

      http://blog.csdn.net/chmsword/article/details/4269602

 

五、本人实现的SSO(介绍建立一个demo简单的思路)

  1. 采用开源项目http://samlsso.codeplex.com/
  2. 建立一个认证中心(IDP),二个web应用(SP1),一个类库SSO.Client

a,其中IDP包括2+3个网页 
2个:一个Default.aspx,一个Login.aspx 
3个:SSOService.aspx(单点登录服务),SingleLogoutService.aspx(单点登录退出服务),ArtifactResponder.aspx(HTTP-Artifact应答服务)

b,2个Web的应用结构类似

1+3个网页 
1个:default.aspx主页,获取登录信息 
3个:AssertionConsumerService.aspx(校验IDP返回的SAML服务) 
SingleLogoutService.aspx(校验IDP返回的退出请求及响应) 
ArtifactResponder.aspx(HTTP-Artifact应答服务)

c,SSO.Client类库

      主要包括一个SSOEntry 及SSOConfig(配置类)【思想可以参考:基于SAML的单点登录.NET代理端实现方案http://www.cnblogs.com/jingtao/archive/2011/03/18/1988435.html

 

其中SSOEntry部分代码如下:

public class SSOEntry : System.Web.IHttpModule  , IRequiresSessionState, IConfigurationSectionHandler 
   { 
         #region IHttpModule 成员

       System.Web.HttpApplication Context;

       public void Dispose() 
       { 
           // throw new Exception("The method or operation is not implemented."); 
       }

       public void Init(System.Web.HttpApplication context) 
       { 
           Context = context; 
           context.AcquireRequestState += new EventHandler(context_BeginRequest);

       } 
       public object Create(object parent, object configContext, XmlNode section) 
       { 
           NameValueSectionHandler handler = new NameValueSectionHandler(); 
           return handler.Create(parent, configContext, section); 
       }

       void context_BeginRequest(object sender, EventArgs e) 
       { 
           HttpApplication application = (HttpApplication)sender;

           Uri url = application.Request.Url; 
           //如果不是aspx网页,就不管他了,还可以再加上其它条件,根据正则过滤一些无需单点登录的页面 
           if (!url.AbsolutePath.EndsWith(".aspx", StringComparison.OrdinalIgnoreCase) || url.AbsolutePath.IndexOf("/SAML")>-1) 
               return;

           HttpResponse Response = Context.Response; 
           //Response.AddHeader("P3P", "CP=CAO PSA OUR");//加上这个,防止在Iframe的时间Cookie丢失

           if ("" == Context.User.Identity.Name) 
           { 
               RequestLoginAtIdentityProvider(application);  // 这个方法可以参考开源项目,此处不介绍 
           }

       }

       #endregion

…… 其它代码省略

}

 

d,WebSite1,WebSite2调用SSO.Client

只需修改Web应用的web.config配置文件即可,加入如下配置信息。这样在请求Web应用的aspx页面时,将首先通过SSO.Client.SSOEntry的context_BeginRequest方法判断用户是否已登录,若未登录或者已超时则生成SAML请求转发至统一认证中心(IDP)

<!--模块或子系统配置段配置信息--> 
<configSections> 
   <section name="SSO" type="SSO.Client.SSOEntry,SSO.Client"/> 
</configSections> 
<!--单点登陆配置信息-->

<SSO>

   <!--单点登陆登陆页面地址--> 
   <add key="SSO.DefaultURL" value="http://127.0.0.1/website1"/
   <!--单点登陆服务的页面地址--> 
   <add key="SSO.SSOServiceURL" value="http://127.0.0.1/SSOIDP/SAML/SSOService.aspx"/
   <add key="SSO.LogoutServiceURL" value="http://127.0.0.1/SSOIDP/SAML/SingleLogoutService.aspx"/
   <!-- 
     Configuration for communicating with the IdP. 
     Valid values for ServiceBinding(SP to IDP) are: 
         urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST 
         urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect 
         urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact 
   --> 
   <add key="SSO.SpToIdpBinding" value="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/> 
   <!-- 
   Valid values for ServiceBinding(IDP to SP) are: 
   urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST 
  urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact 
  --> 
   <add key="SSO.IdpToSPBinding" value="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/> 
   <!--<add key="SSO.ArtifactResolutionServiceURL" value="http://127.0.0.1/SSOIDP/SAML/ArtifactResolutionService.aspx"/>--> 
</SSO>

 

六、基于SAML的SSO的好处

  1. 出现大大简化了SSO,提升了安全性
  2. 跨域不再是问题,不需要域名也可访问
  3. 不仅方便的实现Webform、Winform的单点登录,而且可以方便的实现java与.net应用的单点登录

 

   本人只是粗略研究了基于SAML的单点登录应用,认知有限,不对之处请各位前辈指点。同时借此博文分享我的学习心得,抛砖引玉。

aml是一种xml格式的语言。 翻译过来大概叫 安全断言(标记)语言。 这里有两个点: 第一是“安全”, 第二是“断言(assertion)”。 用人话翻译saml就是 用安全的方式表达断言一种语言。 先看它的核心概念“断言”。 断言是什么? 就是做出判断的语言。比如一句话: 小明是超级管理员。 这就是一个断言。再来一个例子:小红没有权限读取根目录。这也是一个断言。 这种“做出判断的语句”我们在很多场合都需要用到。 比如你在网上尝试登陆一个服务的时候, 这个服务需要知道你是不是合法的用户。 这个时候如果你能提供一个“安全,可靠,可信任”的断言:“小明有权登陆XX服务”, 那么这个服务就知道你合法了, 于是就能为你提供服务了。 这个例子比较抽象,但基本上能表达断言在实际用例中的作用了。 实际上saml的大部分用例就在于证明你是谁,你拥有什么权限等等了。 saml中大部分主要内容也都是类似于:你是谁, 你有什么。。等等这些简单的语句。 详细内容后面会介绍。 接下来第二个概念就是“安全”了。 你能提供一个断言, 别人能不能假冒你提供一个断言从而骗取服务端的信任呢? 另外服务端为什么会信任你给的断言呢? 这就涉及到安全的问题了。为了防止断言被假冒,篡改。saml中加入了安全措施。 当然现今能抵御假冒,篡改,重放攻击的利器就是公钥-私钥系统了。 通过给断言加上签名和加密,再结合数字证书系统就确保了saml不受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值