SAML协议 — 理解SAML2 协议和联合身份验证流程

已于 2023-07-08 15:31:46 修改
阅读量4.9k 收藏 11
点赞数 4
分类专栏: java 文章标签: 后端 xml java
于 2023-05-18 18:00:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38658567/article/details/130751505
版权

1、SAML协议概念

安全断言标记语言,简称SAML,是一个基于 XML 的开源标准数据格式,它在当事方之间交换身份验证和授权数据,尤其是在身份提供者和服务提供者之间交换。SAML解决的最主要的需求是基于Web的单点登录(SSO),SAML2.0 可以实现基于网络跨域的单点登录(SSO), 以便于减少向一个用户分发多个身份验证令牌的管理开销。

2、SAML 主体构成

在 SAML 协议中定义了三种角色:

  • User Agent:用户代理,一般指自然人用户通过浏览器进行服务访问或者向其他服务提供者请求资源的的系统主体;

  • IDP(Identity Provider):一种服务提供者,它创建、维护和管理主体的身份信息,并向联邦内的其他服务提供者提供主体身份验证;简称 IdP,身份提供方能够向 SP 发送身份断言,所谓身份断言就是由 SP签发的,可以标识某个人身份的 Token,只不过,在 SAML 协议中,这个 Token 的格式是 XML 形式的。还有一些其他的身份提供方,例如 Okta、SSOCircle、Auth0,他们都可以向 SP 返回身份断言。

  • SP(Service Provider):一种服务提供者,通过解析IDP发出的身份认证断言,验证主体身份认证信息后,给主体或联邦内其他系统提供服务。简称 SP。什么是服务提供方?例如:阿里云控制台、腾讯云控制台、AWS 控制台这些都是服务提供方。

两个主体通过用户的浏览器进行信息交换。方式上,SP 可以返回带参数的重定向 HTTP 响应,让用户立刻通过参数将信息发给 IdP。而 IdP 会返回一个表单,同时还有一段立即提交表单的 JS 代码,从而让用户立刻将信息发给 SP。

总结一下,SP 提供服务,需要知道用户的身份,就需要向 IdP 询问。IdP 知道用户的身份,当用户在 IdP 登录成功,IdP 就将用户的身份以 SAML 断言的形式发给 SP。SP 信任 IdP 发来的身份断言,从而赋予该用户在 SP 的相关权限。

3、理解 SAML 流程

3.1 发起 SAML 登录到登录成功的整个过程:

在这里插入图片描述

  1. 用户试图登录 SP 提供的应用。
  2. SP 生成 SAML Request,通过浏览器重定向,向 IdP 发送 SAML Request。
  3. IdP 解析 SAML Request 并将用户重定向到认证页面。
  4. 用户在认证页面完成登录。
  5. IdP 生成 SAML Response,通过对浏览器重定向,向 SP 的 ACS 地址返回 SAML Response,其中包含 SAML Assertion 用于确定用户身份。
  6. SP 对 SAML Response 的内容进行检验。
  7. 用户成功登录到 SP 提供的应用。
3.2 SP 与 IdP 之间通信方式

SP 与 IdP 之间的通信方式分为 HTTP Redirect Binding、HTTP POST Binding、HTTP Artifact Binding。每种方式在不同的阶段会用不同类型的 HTTP 与对方通信。

HTTP Redirect Binding
SP 通过重定向 GET 请求把 SAML Request 发送到 IdP,IdP 通过立即提交的 Form 表单以 POST 请求的方式将 SAML Response 发到 SP。
在这里插入图片描述

HTTP POST Binding
SP 通过立即提交的 Form 表单以 POST 请求的方式将 SAML Request 发到 IdP。IdP 通过立即提交的 Form 表单以 POST 请求的方式将 SAML Response 发到 SP。

在这里插入图片描述

HTTP Artifact Binding
SP、IdP 双方只通过浏览器交换 SAML Request、SAML Response 的索引编号,收到编号后,在后端请求对方的 Artifact Resolution Service 接口来获取真正的请求实体内容。从而避免 SAML Request、SAML Response 暴露在前端。

在这里插入图片描述
不同的Binding方式使用不同的通信方式和消息体,使用最多的是HTTP Redirect Binding和HTTP POST Binding方式,其次是HTTP Artifact Binding。常用方式是SP使用HTTP Redirect Binding通过浏览器将SAMLRequest转发到IDP的SSO地址,IDP使用HTTP POST Binding方式将用SAMLResponse返回到SP的ACS地址。

参考资料:
https://docs.microsoft.com/zh-cn/azure/active-directory/saas-apps/saml-toolkit-tutorial
​https://help.aliyun.com/document_detail/160431.html?scm=20140722.184.2.173#h2-78q-k9u-yay

RachelHwang
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于SAML2.0单点登录的实现(JAVA)
xuliang1265的博客
11-23 1万+
一、实现流程 二、git中下载sp程序,部署服务,并调试,确保与idp可以通信。 1、下载地址 https://github.com/vdenotaris/spring-boot-security-saml-sample 2、配置证书,修改 \src\main\resources\update-certifcate.sh,并运行,会根据配置生成jks证书。解决SSL peer failed ho...
【揭秘SAML协议Java安全认证框架的核心基石】 从初识到精通,带你领略Saml协议的奥秘,告别SSO的迷茫与困惑
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
02-02 1437
SAML(Security Assertion Markup Language)是由OASIS制定的基于XML的开放标准。它用于在身份提供者(IdP)和服务提供者(SP)之间交换身份验证和授权数据,从而支持跨域单点登录,提高身份认证和授权管理的安全性和效率。
基于SAML 2.0 SSO单点登录
01-23
基于SAML 2.0 SSO单点登录,包括VS2005,VS2008,VS2010。有部分Java代码。含文档。 client发送saml请求---sso响应验证client是否可信任---可信响应saml----加密saml---发送到client---client解密成功--验证信息是否有效----有效----登录成功
探索SAML 2.0 单点登录的利器:samlify
最新发布
gitblog_00003的博客
05-20 267
探索SAML 2.0 单点登录的利器:samlify 项目地址:https://gitcode.com/tngan/samlify 在当今的Web应用世界里,安全性和用户体验同等重要。单点登录(Single Sign-On, SSO)是一个既能保证安全性又能提升用户体验的功能。而SAML 2.0是一种广泛使用的SSO协议,它允许用户只需一次登录就可以访问多个服务提供商的应用。要实现这一功能,你需要...
SAML协议交互,实现工程Demo(有注释)
02-01
OpenSAML-ref-project-demo-v3 这一个使用OpenSAML库的示例项目: 一个很简单的网址,其充当SP;同时该项目还包括一个很简单的IDP; SAML协议的交互将在这二者之间展开。项目启动之后,访问如下网址: http://localhost:8080/webprofile-ref-project/app/appservlet 这是一个SP的模拟,第一次访问该网址时将会跳转到IDP,进行认证流程
我眼中的SAML (Security Assertion Markup Language)
weixin_30546189的博客
12-08 936
提到SAML (Security Assertion Markup Language), 很多人都会联想到单点登录SSO。那么Saml到底是什么,它跟sso到底有什么联系?这里给大家分享一下我在读完了saml差不多全部规范之后的一些心得。希望给saml入门者一些帮助。我并不想详细介绍每个xml节点怎么写。大家可以参考标准规范。 看了这篇随笔,相信如果万一哪天你要做saml, 你也不会害怕了。 ...
基于saml2.0的平台(适用多种平台)单点登录配置,以okta为例
bigbearxyz的博客
04-13 8526
SAP中SCI平台、OKTA 平台单点登录 集成Java自开发平台
SAML2.0 笔记(一)
CoffeeAndIce的博客
06-21 5521
主要针对SAML基础概念和说明,梳理基础轮廓
saml2.0_使用SAML 2.0设计和实施即时配置
cuyi7076的博客
07-09 2314
背景 当企业采用基于云的服务时,它们将通过多个独立业务合作伙伴的联合为最终用户提供服务。 每个业务伙伴必须能够为最终用户提供他们的服务。 但是,很多时候在需要服务之前向所有最终用户提供所有服务是不切实际的。 取而代之的是,企业通过在合作伙伴首次登录服务时为其提供最终用户的服务,从而采用了及时的方法。 联合身份管理概念 在身份管理中,联合会是一组两个或多个一起工作的业务伙伴。 图1说...
SAML2.0核心协议规范saml-core-2.0-os
02-14
SAML2.0核心协议规范 saml-core-2.0-os
saml
03-27
NULL 博文链接:https://pairan1.iteye.com/blog/1168117
saml-2.0-demo
04-10
saml-2.0-demo 一组用于演示SAML 2.0单点登录(SSO)登录的模块。 模组 以下是用于演示的模块列表: saml-idp-demo模块是身份提供程序(IdP)模块。 saml-sp-shibboleth-demo和saml-sp-springboot-demo都是服务提供商(SP)模块。 请注意,最后一个模块是SP的Java版本。 在本演示中将不再讨论。 如果您想了解其运行方式,可以转到该模块以获取有关如何运行它的说明。 先决条件-您必须安装以下组件: Docker 19.x 请遵循。 运行演示 Docker Hub中提供了预先配置的IdP和SP的Docker映像,以使演示快速启动并运行。 首先,我们需要IdP服务为SP提供联合登录。 打开终止并执行以下命令: docker run -d --name=saml-idp-demo \ -p 8080:8080
saml协议所需jar包
06-08
里边是saml所需要的jar包,包括sp和idp端均可使用,核心jar包为open-saml
SAML.rar_Java 8_saml_saml webservice_saml2.0_saml协议
09-20
2、SAML标准&协议 3、SAML2.0特性分析 4、SAML:集中身份管理的秘诀 5、SAML:企业级的IdP 6、SAML:IdP和SP用户存储库 7、XML安全:使用SAML确保可移植的信任 8、揭开SAML的神秘面纱 9、安全地共享数字身份信息(一)...
Saml2:ASP.NET的Saml2身份验证服务
04-28
Sustainsys.Saml2库向ASP.NET网站添加了SAML2P支持,从而使该网站可以充当SAML2服务提供商(SP)。 该库以前称为Kentor.AuthServices。 Sustainsys.Saml2是开源的,欢迎贡献,请参阅以获取有关编码标准等的信息。 ...
waldur-auth-saml2:Waldur插件带来基于SAML2的身份验证支持
04-30
Waldur SAML2 Waldur插件带来了基于SAML2的身份验证支持。
django-saml2-auth:简化Django SAML2身份验证。 轻松与Okta等SAML2 SSO身份提供商集成
02-05
django-saml2-auth:简化Django SAML2身份验证。 轻松与Okta等SAML2 SSO身份提供商集成
saml2:SimpleSAMLphp低级SAML2 PHP库
02-03
SimpleSAMLphp SAML2库 用于SAML2相关功能PHP库。...用法使用安装,在项目中运行以下命令: composer require simplesamlphp/saml2:^4.0 通过扩展和实现\SimpleSAML\SAML2\Compat\AbstractContainer然后将其注入Contai
配置 SharePoint 的登录页面以使用 SAML 协议进行身份验证
06-10
要配置 SharePoint 的登录页面以使用 SAML 协议进行身份验证,您需要遵循以下步骤: 1. 配置 SAML 服务提供程序(SP):您需要为 SharePoint 配置一个 SAML SP,以便它可以接收来自 SAML IDP 的身份验证请求。这通常涉及到在 SharePoint 中创建一个 SAML 颁发者信任。 2. 配置身份提供程序(IDP):您需要与您的 SAML IDP 集成,并将其配置为向 SharePoint 发送身份验证请求。 3. 配置 SharePoint 登录页面:您需要将 SharePoint 登录页面配置为使用 SAML 身份验证。这可能涉及到自定义登录页面或使用第三方工具来实现 SAML 身份验证。 4. 测试和验证配置:最后,您应该测试和验证您的 SAML 配置是否正确工作。您可以使用 SAML 调试工具来测试您的配置,并确保 SharePoint 正确接收和处理来自 IDP 的身份验证请求。 请注意,这只是一个粗略的概述,您需要详细了解 SharePoint 和 SAML 身份验证的配置和实现细节,才能正确地配置 SharePoint 的登录页面以使用 SAML 协议进行身份验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RachelHwang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值