SSO实现之SAML－1.SAML初识

 

SSO实现之SAML－1.SAML初识

 

1.   SSO

       实现SSO有很多种方式：

1、  Cookie

2、  CAS

3、  OpenId

4、  OAuth

5、 SAML

6、  …

2.    理论

       SAML (Security AssertionMarkup Language) 安全断言标记语言，是基于XML的一套SSO标准。

      

2.1    角色：

             LDP:Identity Provide，身份提供方。负责创建，维护和管理用户认证。

             SP:Service Provide，服务提供方。控制用户是否能够使用该SP提供的资源（访问某些菜单）。

假设有一个Peter(Subject)的法国公民，他需要访问比利时(ServiceProvider)，他在比利时机场被要求提供身份信息，Peter提供了欧盟(Federation)的通行证件，随即，这个通行证件在比利时机场被审核，或通过计算机送到欧盟身份认证中心(Identity Provider)，该中心有一个由所有欧盟国家共同建立的公民数据库，中心审核了Peter的身份信息，并断言“Yes，HeisPeterFromFrance”，于是，Peter得到礼貌的回应“欢迎光临比利时”。

 

2.2    声明：

             认证声明：声明用户是否已经认证，通常用于单点登录。

             属性声明：声明某个subject所具有的属性。

             授权决策声明：声明某个subject具有哪些角色（权限）。

 

2.3     消息流：

1、  SP端发起

     SP--> IDP --> SP

2、  LDP端发起

    IDP --> SP

 

2.4        SP端发起图例：

 

1.用户尝试访问WebApp1。

       2. WebApp1 生成一个 SAML 身份验证请求。SAML请求 (SAMLRequest) 是一个经过base64进行加密的一个加密串，实际是一个xml结构，其中主要包含了IDP给出的该SP的唯一ID（用于IDP端的信任）、SP的网址。

       3. WebApp1将重定向发送到用户的浏览器。重定向网址包含应向SSO 服务提交的编码 SAML 身份验证请求。

      4. SSO（统一认证中心或叫Identity Provider）解码 SAML 请求，并提取 WebApp1的 ACS（声明客户服务）网址以及用户的目标网址。然后，统一认证中心对用户进行身份验证。统一认证中心可能会要求提供有效登录凭据或检查有效会话 Cookie 以验证用户身份。

 5.统一认证中心生成一个 SAML 响应，其中包含经过验证的用户的用户名。按照 SAML 2.0 规范，此响应将使用统一认证中心的 DSA/RSA 公钥和私钥进行数字签名。

 6.统一认证中心对 SAML 响应和进行编码，并将该信息返回到用户的浏览器。统一认证中心提供了一种机制，以便浏览器可以将该信息转发到 WebApp1 ACS。

 7.WebApp1使用统一认证中心的公钥验证 SAML 响应。如果成功验证该响应，ACS 则会将用户重定向到目标网址。

 8.用户将重定向到目标网址并登录到 WebApp1。

 

2.5         IDP端发起图例：

 

1.      用户尝试访问IDP，IDP判断该用户未登录，要求用户登录。

2.      用户提供有效凭据登录IDP。

3.      用户尝试访问一个远程的资源(SP)，会先经过IDP端。

4.      IDP端生成SAMLResponse，通过浏览器的自动提交，重定向到用户访问的SP资源。

5.      浏览器携带SAMLResponse请求SP资源。

6.      SP解析SAMLResponse，验证用户是否合法以及验证用户的权限。

7.      返回具体的资源。