SMAL2.0集成单点登录(SAP-SF)

最新推荐文章于 2024-05-28 10:01:57 发布
最新推荐文章于 2024-05-28 10:01:57 发布
阅读量5.7k 收藏 9
点赞数 3
分类专栏: 单点登录 文章标签: http java
原文链接:https://www.cnblogs.com/xiaosiyuan/p/8080515.html
版权

一、什么是 SAML 协议?

SAML 即安全断言标记语言,英文全称是 Security Assertion Markup Language。它是一个基于 XML 的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在 SAML 标准定义了身份提供者 (identity provider) 和服务提供者 (service provider),这两者构成了前面所说的不同的安全域。 SAML 是 OASIS 组织安全服务技术委员会(Security Services Technical Committee) 的产品。

SAML(Security Assertion Markup Language)是一个 XML 框架,也就是一组协议,可以用来传输安全声明。比如,两台远程机器之间要通讯,为了保证安全,我们可以采用加密等措施,也可以采用 SAML 来传输,传输的数据以 XML 形式,符合 SAML 规范,这样我们就可以不要求两台机器采用什么样的系统,只要求能理解 SAML 规范即可,显然比传统的方式更好。SAML 规范是一组 Schema 定义。

可以这么说,在 Web Service 领域,schema 就是规范,在 Java 领域,API 就是规范。

二、SAML 协议的作用

认证声明:声明用户是否已经认证,通常用于单点登录。
属性声明:声明某个 Subject 所具有的属性。
授权决策声明:声明某个资源的权限,即一个用户在资源 R 上具有给定的 E 权限而能够执行 A 操作。

三、SAML 相关定义

SP(Service Provider): 向用户提供正式商业服务的实体,通常需要认证一个用户的身份;

IDP(Identity Provider): 提供用户的身份鉴别,确保用户是其所声明的身份

断言 (Assertions) 即信息:断言是在 SAML 中用来描述认证的对象,其中包括一个用户在什么时间、以什么方式被认证,同时还可以包括一些扩展信息,比如用户的 Email 地址和电话等等。下面是一个断言的例子:

<?xml version="1.0"?>
<saml:Assertion xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xs="http://www.w3.org/2001/XMLSchema" ID="_d71a3a8e9fcc45c9e9d248ef7049393fc8f04e5f75" Version="2.0" IssueInstant="2014-07-17T01:01:48Z">
  <saml:Issuer>http://idp.example.com/metadata.php</saml:Issuer>
  <saml:Subject>
    <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">xiaosy@bw30.com</saml:NameID>
    <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
      <saml:SubjectConfirmationData NotOnOrAfter="2024-01-18T06:21:48Z" Recipient="http://sp.example.com/demo1/index.php?acs" InResponseTo="ONELOGIN_4fee3b046395c4e751011e97f8900b5273d56685"/>
    </saml:SubjectConfirmation>
  </saml:Subject>
  <saml:Conditions NotBefore="2014-07-17T01:01:18Z" NotOnOrAfter="2024-01-18T06:21:48Z">
    <saml:AudienceRestriction>
      <saml:Audience>http://sp.example.com/demo1/metadata.php</saml:Audience>
    </saml:AudienceRestriction>
  </saml:Conditions>
  <saml:AuthnStatement AuthnInstant="2014-07-17T01:01:48Z" SessionNotOnOrAfter="2024-07-17T09:01:48Z" SessionIndex="_be9967abd904ddcae3c0eb4189adbe3f71e327cf93">
    <saml:AuthnContext>
      <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml:AuthnContextClassRef>
    </saml:AuthnContext>
  </saml:AuthnStatement>
  <saml:AttributeStatement>
    <saml:Attribute Name="uid" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
      <saml:AttributeValue xsi:type="xs:string">test</saml:AttributeValue>
    </saml:Attribute>
    <saml:Attribute Name="mail" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
      <saml:AttributeValue xsi:type="xs:string">test@example.com</saml:AttributeValue>
    </saml:Attribute>
    <saml:Attribute Name="eduPersonAffiliation" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
      <saml:AttributeValue xsi:type="xs:string">users</saml:AttributeValue>
      <saml:AttributeValue xsi:type="xs:string">examplerole1</saml:AttributeValue>
    </saml:Attribute>
  </saml:AttributeStatement>
</saml:Assertion>

协议 (Protocol) 即通信:协议规定如何执行不同的行为。这些行为被细化成一些列的 Request 和 Response 对象,而在这些请求和相应的对象中包含了行为所特别需要的信息。比如,认证请求协议(AuthnRequest Protocol)就规定了一个 SP 如何请求去获得一个被认证的与用户。
这是一个 AuthnRequest 对象示例:

<?xml version="1.0"?>
 <samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="ONELOGIN_809707f0030a5d00620c9d9df97f627afe9dcc24" Version="2.0" ProviderName="SP test" IssueInstant="2014-07-16T23:52:45Z" 
Destination="http://idp.example.com/SSOService.php" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" AssertionConsumerServiceURL="http://sp.example.com/demo1/index.php?acs">
 <saml:Issuer>http://sp.example.com/demo1/metadata.php</saml:Issuer>
</samlp:AuthnRequest>

绑定 (Binding) 即传输:绑定定义了 SAML 信息如何使用通信协议被传输的。比如,HTTP 重定向绑定,即声明 SAML 信息将通过 HTTP 重定向消息传输;再比如 SAML SOAP 绑定,声明了通过 SOAP 来传递 SAML 消息。比如上面 AuthnRequest 就声明了 Http-POst 绑定

元数据 (MetaData):SAML 的元数据是配置数据,其包含关于 SAML 通信各方的信息,比如通信另一方的 ID、Web Service 的 IP 地址、所支持的绑定类型以及通信中实用的密钥等等。

四、SAML 协议流程分析:

SAML 协议内容比较复杂,绑定方式不只一个,在这里我们以应该算是最简单的一种绑定方式 HTTP-POST 方式说明 SAML 协议的工作流程

1、用户通过浏览器访问 SP 的某个受保护的资源
2、SP 鉴别到该用户未鉴权,于是将该用户重定向到 IDP 端;前提是改 IDP 是受 SP 信任的身份认证中心;
3、IDP 端通过自己的认证方式对该用户合法性进行认证;
4、认证通过后,IDP 端生成响应后返回给 SP
5、SP 接收到 IDP 的响应后解析出用户认证信息,合法,则允许用户访问受保护的资源

五、 SP 端的一些细节:

通常情况下,SP 端是请求发起端,即当用户访问 SP 端的受保护资源时,由 SP 端向认证中心(IDP 端)发起认证请求。最终请求会回到 SP 端并由 SP 端将受保护资源授权给用户。

假设,SP 有一受保护静态资源 index.html,通常情况下,为了保护该静态资源,SP 可以选择用过滤器对访问该资源的请求进行过滤,如果该用户已被授权,则将 index.html 返回给用户;否则将生成认证请求到 IDP。

首先,我们先看一个有 SP 端生成的认证请求参数,它是普通的 xml 文档:

 <?xml version="1.0" encoding="UTF-8" standalone="no"?>
 <samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="http://localhost:8080/sp/consumer" Destination="http://localhost:8080/idp/sso" 
ID="3983b844-5f42-4c66-b476-f69704f00b5b" IssueInstant="2017-12-21T08:35:56.975Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0">
   <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://localhost:8080/sp</saml:Issuer>
   <samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>
 </samlp:AuthnRequest>

该请求根节点是 samlp:AuthnRequest 来表明是一个认证请求,有如下几个参数:
1、AssertionConsumerServiceURL断言消费服务地址,即当 IDP 认证成功后响应返回的地址
2、Destination目标地址,即 IDP 接收请求的地址
3、ID该请求的唯一标识
4、IssueInstant请求的时间
5、ProtocolBindingSP 声明此次通信的绑定方式,不同的绑定方式意味着不同的通信流程,SAML2.0 主要包括:HTTP-Artifact,HTTP-POST,HTTP-Redirect,SOAP 等几种绑定方式。
6、Version版本号
7、saml:IssuerSP 的 Id 标识
8、samlp:NameIDPolicyIDP 对于用户身份的标识;NameID policy 是 SP 关于 NameID 是如何被创建的说明;Format 指明 SP 需要返回什么类型的标识(SAML Artifact);属性AllowCreate指明 IDP 是否被允许当发现用户不存在时创建用户账号。
创建 AuthnRequest 对象采用了开源的 opensaml,代码如下:

/**
 * 创建AutheRequest对象 * @param idpSsoUrl
  * @param acsUrl
  * @param spEntityId
  * @return
  */
public AuthnRequest createRequest(String idpSsoUrl,String acsUrl,String spEntityId){
    AuthnRequest authnRequest = create(AuthnRequest.class,AuthnRequest.DEFAULT_ELEMENT_NAME);
  authnRequest.setIssueInstant(new DateTime());
  authnRequest.setDestination(idpSsoUrl);
  authnRequest.setProtocolBinding(SAMLConstants.SAML2_POST_BINDING_URI);
  authnRequest.setID(UUID.randomUUID().toString());
  authnRequest.setAssertionConsumerServiceURL(acsUrl);

  Issuer issuer = create(Issuer.class,Issuer.DEFAULT_ELEMENT_NAME);
  issuer.setValue(spEntityId);
  authnRequest.setIssuer(issuer);

  NameIDPolicy nameIDPolicy = create(NameIDPolicy.class,NameIDPolicy.DEFAULT_ELEMENT_NAME);
  nameIDPolicy.setAllowCreate(true);
  nameIDPolicy.setFormat(NameID.UNSPECIFIED);
  authnRequest.setNameIDPolicy(nameIDPolicy);
 return authnRequest;
}

生成对象后转化成字符串:

Document document = asDOMDocument(authnRequest);
DOMSource source=new DOMSource(document);
TransformerFactory tf = TransformerFactory.newInstance();
Transformer former=tf.newTransformer();
former.setOutputProperty(OutputKeys.STANDALONE, "yes");
StringWriter sw = new StringWriter();
StreamResult sr = new StreamResult(sw);
former.transform(source, sr);
String result=sw.toString();

将 xml 字符串进行 base64 编码后拼接成认证请求地址发起认证请求,认证请求地址示例如下:

http://localhost:8080/idp/sso?SAMLRequest=fZJdT8IwFIb/SnPuy7qhwBqGQYmRxA8i0wvvSneQJl07ezo//r1zQKKJets+ed+e53R69l5b9oqBjHcFpAMBDJ32lXHPBTyUl3wCjKJylbLeYQHOw9lsSqq2jZy3cefu8aVFiqzLcST7iwLa4KRXZEg6VSPJqOV6fnMts4GQTfDRa2+BzYkwxK74wjtqawxrDK9G48P9dQG7GBuZJNZrZXeeopyIiUioSfQBBrboeo1TsX/677ypmoTIA1suCsiHW9SjVPBTvVX8JB/lPNfVho+z0ViMhgKHm9OOJGpx6b6GjgVkIh3zNONZWopcZpnMJgMhTp6ArQ5znBu3t/Xf0Js9RPKqLFd8dbcugT0erXcA7J3Kvjx8k/l/rDoahNlfvqbJt+Dj5m67pOVi5a3RH2xurX+7CKhit98YWgR26UOt4t/d6SDtT0zFtz0qW0cNarM1WEEy25f+/CGzTw==

后续就是 IDP 收到该请求后解析、认证、返回的过程了

六、IDP

IDP,即提供身份认证服务的一端,通常,当 IDP 接收到 SP 发送的 SAML 认证请求后,解析 SAMLRequest 参数,包括 acs 地址、SP EntityId、绑定方式、是否加密等信息,当身份认证成功后便根据 SP 请求参数进行后续的通信。

在绑定方式为 Http post 方式中,当 IDP 认证成功后,便生成 Response 信息返回给 SP,一个 Response 的 xml 如下:

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Destination="https://bw30.worktile.com/api/sso/postback/5a2f38f7499e182113286d28" ID="_8e8dc5f69a98cc4c1ff3427e5ce34606fd672f91e6" IssueInstant="2017-12-13T09:05:48Z" Version="2.0">
  <saml:Issuer>https://localhost:8080/idp</saml:Issuer>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
  </samlp:Status>
  <saml:Assertion xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ID="_d71a3a8e9fcc45c9e9d248ef7049393fc8f04e5f75" IssueInstant="017-12-13T09:05:48Z" Version="2.0">
    <saml:Issuer>https://localhost:8080/idp</saml:Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_d71a3a8e9fcc45c9e9d248ef7049393fc8f04e5f75"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>k9i4QGA5BDFkW5I+Igr8hR1ibZs=</DigestValue></Reference></SignedInfo><SignatureValue>PLIKGZOFbMt8qEM1yw6f/Uct7R9Xd8KWZXw5925gIJdA8+q9MfY34+sQwDcy1Tqnxzak6hx6A6ol
Qr+zJCQH8O/S+sDgCEUhXG+PFU4j2pxnnYqwI3jKc2yeT7A7f8ShStgwN7IgjZ0TFLx2TO3tlZ76
2GwFHNN0lH9ohtAv8Zs=</SignatureValue><KeyInfo><X509Data><X509Certificate>MIICaDCCAdGgAaIBAgIEfnIVCzANBgkqhkiG9w0BAQsFADBnMQ4wDAYDVQQGEwVjaGluYTEQMA4G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=</X509Certificate></X509Data></KeyInfo></Signature>
    <saml:Subject>
      <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">test@qq.com</saml:NameID>
      <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <saml:SubjectConfirmationData NotOnOrAfter="2024-01-18T06:21:48Z" Recipient="https://localhost:8080/idp/sso"/>
      </saml:SubjectConfirmation>
    </saml:Subject>
    <saml:Conditions NotBefore="017-12-13T09:05:48Z" NotOnOrAfter="2024-01-18T06:21:48Z">
      <saml:AudienceRestriction>
        <saml:Audience>https://localhost:8080/sp/</saml:Audience>
      </saml:AudienceRestriction>
    </saml:Conditions>
    <saml:AuthnStatement AuthnInstant="017-12-13T09:05:48Z">
      <saml:AuthnContext>
        <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
      </saml:AuthnContext>
    </saml:AuthnStatement>
  </saml:Assertion>
</samlp:Response>

1、samlp:Response根节点,表明这是一个 response 对象
2、Destination目标地址,即 ACS 地址,Response 返回的地址
3、ID唯一标识
4、IssueInstant时间戳
5、saml:IssuerIDP 身份信息,IDP 的 EntityId
6、samlp:Status认证结果,samlp:StatusCode表明认证成功或失败
7、saml:Assertion断言,这是 Response 中最为重要的字段,里面包含着用户身份信息
8、Signature断言的签名,使用非对称私钥对 Assertion 内容(不包含 Signature)进行签名,防止信息被篡改
9、saml:Subject身份主体,主要包括身份信息
10、saml:NameID身份信息
11、saml:Conditions给出了断言被认为有效的验证条件。
12、saml:AuthnStatement描述了在身份提供者的认证行为。

首先生成断言信息 Assertion,然后对断言进行签名,将签名信息插入到 Assertion 的子节点中,即 的信息,最后生成 Response 结构,将 Response 字符串进行 base64 编码后 post 到 acs 地址上,SP 对其进行验证。

当然,如果 SP 请求需要加密断言、加密响应,IDP 端必须对 Assertion 和 Signature 进行加密处理。

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<Reference URI="#_d71a3a8e9fcc45c9e9d248ef7049393fc8f04e5f75">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>k9i4QGA5BDFkW5I+Igr8hR1ibZs=</DigestValue>
</Reference>
</SignedInfo><SignatureValue>PLIKGZOFbMt8qEM1yw6f/Uct7R9Xd8KWZXw5925gIJdA8+q9MfY34+sQwDcy1Tqnxzak6hx6A6ol
Qr+zJCQH8O/S+sDgCEUhXG+PFU4j2pxnnYqwI3jKc2yeT7A7f8ShStgwN7IgjZ0TFLx2TO3tlZ762GwFHNN0lH9ohtAv8Zs=</SignatureValue>
<KeyInfo>
<X509Data><X509Certificate>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
</X509Certificate>
</X509Data>
</KeyInfo>
</Signature>

SAML 中的签名算法就是对 xml 文档树进行签名,说明如下:
1、确认签名内容,通过 URL 将这些内容表示为引用资源,用Reference标识。对于断言信息来说,其 URI 是saml:Assertion的 ID
2、对待签名的数据进行转化处理,包括执行编码规则、规范化算法等,Transform指定了转化的算法
3、对整个断言进行消息摘要,DigestMethod指定了消息摘要算法,消息摘要的结果保存在DigestValue元素中
4、构造包含 Reference 的SignedInfo元素
5、CanonicalizationMethod元素指定了规范化的算法,如果不对其进行规范化处理,验证 xml 签名时可能因为 xml 结构表示不同而失败
6、计算 SignedInfo 的摘要,使用SignatureMethod声明的签名算法,并对其进行签名,结果保存到SignatureValue元素中
7、KeyInfo元素可选,表明签名的公钥信息

SP 接收到 IDP 的响应后,验证签名,获取用户的信息后跳转响应页面。

作者浅夏丶未央写了一个小 demo, 源码地址是:https://github.com/xiaosiyuan/saml.git
验证方法:
1、运行 APP.java
2、模拟用户访问http://localhost:8080/index.html ,index.html 是一个受保护的资源
3、被重定向到 login.html 页面,输入用户名 admin、密码 admin, 登陆成功后跳转到 index.html 页面

七、 摘录

SAML2.0 协议初识(一)
SAML2.0 协议初识(二)
SAML2.0 协议初识(三)

monkey_wangmumu
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
什么是SAML?SMAL如何工作的?
IDAAS的博客
04-22 5880
安全声明标记语言(SAML)是一种开放标准,允许身份提供商(IDP)将授权凭证传递给服务提供商(SP)。 这个术语的含义是您可以使用一组凭据登录许多不同的网站。 管理每个用户仅需一次登录比管理电子邮件、客户关系管理(CRM)软件、Active Directory等公司业务系统都需要单独登录要简单得多。 SAML使用可扩展标记语言(XML)进行身份提供商和服务提供商之间的标准化通信。 SAML是用户...
SAML v2.0 开发指南 SSO必备
08-18
本书详细讲解了基于SAML进行开发单点登录技术的详细细节。是单点登录技术的必备资源。
基于SAML 2.0 SSO单点登录
01-23
基于SAML 2.0 SSO单点登录,包括VS2005,VS2008,VS2010。有部分Java代码。含文档。 client发送saml请求---sso响应验证client是否可信任---可信响应saml----加密saml---发送到client---client解密成功--验证信息是否有效----有效----登录成功
探索SAML 2.0的现代之旅:ITfoxtec.Identity.Saml2全面解析
最新发布
gitblog_00040的博客
05-28 476
探索SAML 2.0的现代之旅:ITfoxtec.Identity.Saml2全面解析 项目地址:https://gitcode.com/ITfoxtec/ITfoxtec.Identity.Saml2 在数字化时代,身份验证成为了连接用户与服务的桥梁。对于开发者而言,选择一个可靠且灵活的身份认证框架至关重要。今天,我们将聚焦于一款强大的开源工具——ITfoxtec.Identity.Saml2,...
基于saml2.0的平台(适用多种平台)单点登录配置,以okta为例
bigbearxyz的博客
04-13 8660
SAP中SCI平台、OKTA 平台单点登录 集成Java自开发平台
单点登录saml
04-10
aml是一种xml格式的语言。 翻译过来大概叫 安全断言(标记)语言。 这里有两个点: 第一是“安全”, 第二是“断言(assertion)”。 用人话翻译saml就是 用安全的方式表达断言一种语言。 先看它的核心概念“断言”。 断言是什么? 就是做出判断的语言。比如一句话: 小明是超级管理员。 这就是一个断言。再来一个例子:小红没有权限读取根目录。这也是一个断言。 这种“做出判断的语句”我们在很多场合都需要用到。 比如你在网上尝试登陆一个服务的时候, 这个服务需要知道你是不是合法的用户。 这个时候如果你能提供一个“安全,可靠,可信任”的断言:“小明有权登陆XX服务”, 那么这个服务就知道你合法了, 于是就能为你提供服务了。 这个例子比较抽象,但基本上能表达断言在实际用例中的作用了。 实际上saml的大部分用例就在于证明你是谁,你拥有什么权限等等了。 saml中大部分主要内容也都是类似于:你是谁, 你有什么。。等等这些简单的语句。 详细内容后面会介绍。 接下来第二个概念就是“安全”了。 你能提供一个断言, 别人能不能假冒你提供一个断言从而骗取服务端的信任呢? 另外服务端为什么会信任你给的断言呢? 这就涉及到安全的问题了。为了防止断言被假冒,篡改。saml中加入了安全措施。 当然现今能抵御假冒,篡改,重放攻击的利器就是公钥-私钥系统了。 通过给断言加上签名和加密,再结合数字证书系统就确保了saml不受攻击。
aspnet登录界面功能实现并完成跳转_Workspace ONE Access 与Salesforce集成时,利用SAML 2.0完成单点登录...
weixin_32234493的博客
01-16 577
作者TerryLu07为大家演示在Workspace ONE Access 与 Salesforce的集成中,特别适合企业员工访问单独的Saleforce应用时的操作,即通过SP-initiated SSO实现单点登陆的过程。Workspace ONE Access和Salesforce SSO集成的步骤,点击使用Workspace ONE Access 与 Salesforce集成时,...
SAP单点登录解决方案
weixin_43888456的博客
06-14 1001
支持多种操作系统:SLC支持多种操作系统,包括Windows、Linux和Mac OS等,用户可以根据自己的操作系统选择合适的版本进行安装和使用。安全配置:SLC提供了一系列安全配置选项,管理员可以根据实际需求和安全策略,对登录和通信等方面进行灵活的配置和管理。安全通信:SLC使用安全的通信协议和加密技术,如SSL/TLS,以确保用户与SAP系统之间的通信是加密的和安全的。客户端管理:SLC支持集中的客户端管理,管理员可以远程管理和监控用户的客户端,包括安装、升级、配置和日志记录等。
SAML 2.0 详解
12-08
文中详细描述了SMAL的定义和他所用到的专业术语,平配合一定的例子加以讲解,是学习和理解SMAL 比配良书。
ASP.NET 5中使用AzureAD实现单点登录
01-02
题记:在ASP.NET 5中虽然继续可以沿用ASP.NET Identity来做验证授权,不过也可以很容易集成支持标准协议的第三方服务,比如Azure Active Directory。 其实,在ASP.NET 5中集成AzureAD,利用其进行验证和授权,是非常...
基于webspere实现的smal单点sso
05-09
基于webspere实现的smal单点sso
saml2.0规范完全文档
06-11
从oasis-open.org下载的saml2.0规范文档,包括pdf文件和xsd文件。
SAML2.0核心协议规范saml-core-2.0-os
02-14
SAML2.0核心协议规范 saml-core-2.0-os
宁盾单点登录(SSO)与SAP对接方案.docx
06-22
宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx宁盾单点登录(SSO)与SAP对接方案.docx
基于SAML的单点登录系统的研究与实现
03-01
论文中介绍了SSO单点登录的相关概念,各种实现方式,及通过SAML标准来实现的具体思路、方法。是网上不可多得的中文介绍材料!
宁盾单点登录(SSO)与Salesforce对接方案.pdf
06-12
宁盾单点登录(SSO)与Salesforce的对接方案主要关注的是如何通过宁盾的SSO技术,实现用户在企业环境中对多个应用系统的一次性登录,包括对流行的SAAS应用Salesforce的无缝整合。这涉及到身份和访问管理(IAM)的...
SAP安全 - 用户身份验证和单点登录
matinal 當冬夜漸暖 。公众号:matinal
08-06 1528
是允许您登录到一个系统的关键概念之一,您可以在后端访问多个系统. SSO允许用户通过后端的SAP系统访问软件资源.平台提供用户身份验证并帮助系统管理员管理用户在复杂的SAP系统架构中加载. SSO配置通过增强安全措施并减少多个系统的密码管理任务,简化了用户登录SAP系统和应用程序的过程.
基于SAML2.0单点登录的实现(JAVA)
热门推荐
xuliang1265的博客
11-23 1万+
一、实现流程 二、git中下载sp程序,部署服务,并调试,确保与idp可以通信。 1、下载地址 https://github.com/vdenotaris/spring-boot-security-saml-sample 2、配置证书,修改 \src\main\resources\update-certifcate.sh,并运行,会根据配置生成jks证书。解决SSL peer failed ho...
SMAL2.0集成单点登录
02-23
SMAL2.0(Security Assertion Markup Language)是一种用于实现单点登录(Single Sign-On,简称SSO)的开放标准。它允许用户在多个应用程序和服务之间进行身份验证和授权,而无需多次输入凭据。 SMAL2.0的工作原理如下: 1. 用户访问一个需要身份验证的应用程序。 2. 应用程序将用户重定向到身份提供者(Identity Provider,简称IdP)。 3. 用户在IdP上进行身份验证。 4. IdP生成一个包含用户身份信息的安全断言(Assertion)。 5. IdP将安全断言发送回应用程序。 6. 应用程序使用安全断言来验证用户身份,并授予访问权限。 SMAL2.0的集成单点登录可以通过以下步骤实现: 1. 配置身份提供者:将SMAL2.0身份提供者集成到您的应用程序中。这可以是自己构建的IdP,也可以是第三方提供的IdP,如Okta、Auth0等。 2. 配置服务提供者:将SMAL2.0服务提供者集成到您的应用程序中。这是需要进行单点登录的应用程序。 3. 配置信任关系:在身份提供者和服务提供者之间建立信任关系,以确保安全断言的有效性可靠性。 4. 实现身份验证和授权:在服务提供者中实现对安全断言的验证和用户身份的授权,以决定用户是否有权访问特定资源。 通过SMAL2.0集成单点登录,用户只需一次登录即可访问多个应用程序,提高了用户体验和工作效率,并简化了身份验证和授权的管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值