SAML是目前单点登录的流行协议之一。它的具体过程是什么样的呢?本文以故事类比SAML的认证流程。SAML认证流程有很多方式,这里概要介绍最常见的方式 

 

故事开始 

张三开了一家票号服务提供者,SP 

李四于吏部任员外郎身份提供者,IDP 

 

票号张三和吏部李四的约定初始配置IDP和SP授信过程 

票号张三:“汝之同僚来吾无质贷银。” 

吏部李四回曰:“公人贷银,此乃吾之笔迹留以对之。”  

李四签名certificate递与张三,张三亦递签名与李四 

 

从吏部开始的贷款过程IDP Initiated Authentication Flow) 

王五(user),官也,致吏部,遇员外郎,曰:“吾欲贷银,于张三票号。 

李四问:“汝何许人也 

王五呈告身”(官员委任)于李四。(identity verification. e.g. username/password) 

李四查之,果为官身。遂书一封 


致:票号张三 

此人王五,系我处官身,官居六科给事中,请便宜从事 

落款:吏部员外郎李四 


封于火漆信,交王五:“送去票号张三 

 

王五持,致票号,交与张三 

封缄,对,此乃李四亲笔无误问曰汝来何事?” 

王五答:“吾欲贷银 

张三点头:“放银!” 

 

从票号开始的贷款过程SP Initiated Authentication Flow) 

王五票号问张三:“吾欲贷银 

张三问:“汝何?无吏部文书?" 

修书一封 


致:吏部员外郎李四 

查实此人官身 

于:猴年马月狗日猪时第陆仟捌拾 

落款:票号张三 


封于火漆信封,交王五:“吏部员外郎李四 

 

王五交信与吏部李四 

李四验火漆,对落款,无误,问曰:“来者 

王五呈“告身”与李四 

李四,果是我处官身,遂修书一封 


致:票号张三 

此人王五,系我处官身,官居六科给事中,请便宜从事 

回复:猴年马月狗日猪时第陆仟捌拾 

落款吏部员外郎李四 


封于火漆信封,交王五:“送回。” 

 

王五交票号张三 

张三火漆,对签名,无误 

 

--------------------

更多认证协议相关的文章,请参考博文http://vmwareeuc.blog.51cto.com/8606576/1906989


作者:王南,VMware China EUC Customer Success Team