一、背景知识:
SAML即安全断言标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。
SAML(Security Assertion Markup Language)是一个XML框架,也就是一组协议,可以用来传输安全声明。比如,两台远程机器之间要通讯,为了保证安全,我们可以采用加密等措施,也可以采用SAML来传输,传输的数据以XML形式,符合SAML规范,这样我们就可以不要求两台机器采用什么样的系统,只要求能理解SAML规范即可,显然比传统的方式更好。SAML 规范是一组Schema 定义。
可以这么说,在Web Service 领域,schema就是规范,在Java领域,API就是规范。
SAML 主要包括三个方面:
1.认证申明。表明用户是否已经认证,通常用于单点登录。
2.属性申明。表明 某个Subject 的属性。
3.授权申明。表明 某个资源的权限。
SAML就是客户向服务器发送SAML 请求,然后服务器返回SAML响应。数据的传输以符合SAML规范的XML格式表示。
SAML 可以建立在SOAP上传输,也可以建立在其他协议上传输。
因为SAML的规范由几个部分构成:SAML Assertion,SAML Prototol,SAML binding等
安全
由于SAML在两个拥有共享用户的站点间建立了信任关系,所以安全性是需考虑的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息。SAML依靠一批制定完善的安全标准,包括SSL和X.509,来保护SAML源站点和目标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。为确保参与SAML交互的双方站点都能验证对方的身份,还使用了证书。
应用
目前SAML已经在很多商业/开源产品得到应用推广,主要有:
IBM Tivoli Access Manager
Weblogic
Oblix NetPoint
SunONE Identity Server
Baltimore, SelectAccess
Entegrity Solutions AssureAccess
Internet2 OpenSAML
Yale CAS 3
Netegrity SiteMinder
Sigaba Secure Messaging Solutions
RSA Security ClearTrust
VeriSign Trust Integration Toolkit
Entrust GetAccess 7
二、基于 SAML的SSO
下面简单介绍使用基于SAML的SSO登录到WebApp1的过程(下图源自SAML 的 Google Apps SSO,笔者偷懒,简单做了修改)
此图片说明了以下步骤。
三、开源资源:
1,SAML SSO for ASP.NET
http://samlsso.codeplex.com/
其中SAML组件使用的是ComponentSpace SAML v2.0 for .NET,此组件貌似是澳洲一家公司开发的,收费,但不贵。
里边有VS05,08,10的例子(部分例子是C#,部分是vb.net),也有java调用.net SSO的例子。
2,a set of WinForms and WebForms SAML demos with Full Source Code
http://samlclients.codeplex.com/
此开源项目采用的是UltimateSaml.dll SAML组件,但不开源。里边同时有C#、Vb.net的例子,Webform及winform的例子。
四、网友的文章推荐:
http://blog.csdn.net/chmsword/article/details/4269602
五、本人实现的SSO(介绍建立一个demo简单的思路)
a,其中IDP包括2+3个网页
2个:一个Default.aspx,一个Login.aspx
3个:SSOService.aspx(单点登录服务),SingleLogoutService.aspx(单点登录退出服务),ArtifactResponder.aspx(HTTP-Artifact应答服务)
b,2个Web的应用结构类似
1+3个网页
1个:default.aspx主页,获取登录信息
3个:AssertionConsumerService.aspx(校验IDP返回的SAML服务)
SingleLogoutService.aspx(校验IDP返回的退出请求及响应)
ArtifactResponder.aspx(HTTP-Artifact应答服务)
c,SSO.Client类库
主要包括一个SSOEntry 及SSOConfig(配置类)【思想可以参考:基于SAML的单点登录.NET代理端实现方案 http://www.cnblogs.com/jingtao/archive/2011/03/18/1988435.html】
其中SSOEntry部分代码如下:
public class SSOEntry : System.Web.IHttpModule , IRequiresSessionState, IConfigurationSectionHandler
{
#region IHttpModule 成员
System.Web.HttpApplication Context;
public void Dispose()
{
// throw new Exception("The method or operation is not implemented.");
}
public void Init(System.Web.HttpApplication context)
{
Context = context;
context.AcquireRequestState += new EventHandler(context_BeginRequest);
}
public object Create(object parent, object configContext, XmlNode section)
{
NameValueSectionHandler handler = new NameValueSectionHandler();
return handler.Create(parent, configContext, section);
}
void context_BeginRequest(object sender, EventArgs e)
{
HttpApplication application = (HttpApplication)sender;
Uri url = application.Request.Url;
//如果不是aspx网页,就不管他了,还可以再加上其它条件,根据正则过滤一些无需单点登录的页面
if (!url.AbsolutePath.EndsWith(".aspx", StringComparison.OrdinalIgnoreCase) || url.AbsolutePath.IndexOf("/SAML")>-1)
return;
HttpResponse Response = Context.Response;
//Response.AddHeader("P3P", "CP=CAO PSA OUR");//加上这个,防止在Iframe的时间Cookie丢失
if ("" == Context.User.Identity.Name)
{
RequestLoginAtIdentityProvider(application); // 这个方法可以参考开源项目,此处不介绍
}
}
#endregion
…… 其它代码省略
}
d,WebSite1,WebSite2调用SSO.Client
只需修改Web应用的web.config配置文件即可,加入如下配置信息。这样在请求Web应用的aspx页面时,将首先通过SSO.Client.SSOEntry的context_BeginRequest方法判断用户是否已登录,若未登录或者已超时则生成SAML请求转发至统一认证中心(IDP)
<!--模块或子系统配置段配置信息-->
<configSections>
<section name="SSO" type="SSO.Client.SSOEntry,SSO.Client"/>
</configSections>
<!--单点登陆配置信息-->
<SSO>
<!--单点登陆登陆页面地址-->
<add key="SSO.DefaultURL" value="http://127.0.0.1/website1"/>
<!--单点登陆服务的页面地址-->
<add key="SSO.SSOServiceURL" value="http://127.0.0.1/SSOIDP/SAML/SSOService.aspx"/>
<add key="SSO.LogoutServiceURL" value="http://127.0.0.1/SSOIDP/SAML/SingleLogoutService.aspx"/>
<!--
Configuration for communicating with the IdP.
Valid values for ServiceBinding(SP to IDP) are:
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact
-->
<add key="SSO.SpToIdpBinding" value="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<!--
Valid values for ServiceBinding(IDP to SP) are:
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact
-->
<add key="SSO.IdpToSPBinding" value="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<!--<add key="SSO.ArtifactResolutionServiceURL" value="http://127.0.0.1/SSOIDP/SAML/ArtifactResolutionService.aspx"/>-->
</SSO>
六、基于SAML的SSO的好处
本人只是粗略研究了基于SAML的单点登录应用,认知有限,不对之处请各位前辈指点。同时借此博文分享我的学习心得,抛砖引玉。