SAML 1.1 vs SAML 2
SAML是为了解决Web浏览器单点登陆的问题而产生的,使用SAML标准作为安全认证和共享资料的中间语言,能够在多个站点之间实现单点登录。但是,SAML1.1就这个目的而言是有局限的,事实上,SAML1.1通过使用SAML作为WS-Security令牌,更有效地解决的问题是SOAP Web服务的身份认证和授权。SAML 2明确包含了用于解决Web浏览器进行多网站验证问题的新特性。
SAML是一种基于XML语言用于传输认证及授权信息的框架,以与主体相关的断言形式表达。在这里, 主体是一个实体(人或计算机),这个实体在某个安全域中拥有一个特定身份,断言可传递主体执行的认证信息、属性信息及关于是否允许主体访问其资源的授权决定。
SAML定义三种元件:断言(SAML Assertion)、协议(SAML Prototol)以及约束(SAML binding)。
SAML存在多种断言:认证断言(Authentication Assertion)、属性断言(Attribute Assertion)、授权断言(Authorization Assertion)、决定断言(Decision Assertion)。 认证断言确认用户的身份,表明用户是否已经登录,通常用于单点登录; 属性断言包含特定的主题信息; 授权断言确认特定主题是否得到授权。 决定断言报告了一个具体授权请求的结果。一个断言可以以如下格式描述: Assertion A was issued at time t by issuer R regarding subject S provided conditions C are valid.
协议定义SAML如何请求和接收断言。
约束定义如何将SAML消息交换映射成简单对象访问协议(SOAP)的对象。
Saml使用流程:
简单地说, SAML就是一方向另一方发送SAML 请求,然后另一方返回SAML响应。发送方和请求方之间 传递的是用户认证和授权数据。传输的数据必须符合SAML规范要求。连接中的任何一方都可以发起请求,根据身份不同,分为:IDP init请求,和SP init 请求。 例子:公司( idp)的用户要访问SAAS 应用( sp),为了保证身份安全,我们可以采用除了加密签名等措施,还要采用SAML规范来传输,传输的数据以XML形式,内容符合SAML的推荐标准,这样我们就可以不要求idp和sp采用什么样的系统,只要求能理解SAML规范即可,显然比传统的方式更好。
SP init: 就是用户去访问服务提供者SP提供的服务,服务提供者发现用户没有登陆,系统重定向到身份提供者Idp的登陆页面让用户登陆,然后再自动重定向到服务提供者的初始请求页面,用户就能正常使用服务了
Idp init: 就是用户先在身份提供者Idp上登陆,然后重定向到服务提供者SP的一个landing页面开始使用服务。
Pingfederate, 基于Java平台,除了支持SAML 2.0和1.1外, 还支持WS-Federation (微软主推),近两年又推出支持Oauth的版本(6.6以后)。
参考:
Saml - 百度百科
saml - 百度文库
Web 单点登录系统
Security Assertion Markup Language - 维基百科