SAML协议介绍

1. 什么是SAML协议？

SAML是Security Assertion Markup Language的简写，翻译过来叫安全断言标记语言，是一种基于XML的开源标准数据格式，用于在当事方之间交换身份验证和授权数据，尤其是在身份提供者（IDP）和服务提供者（SP）之间交换。SAML协议主要解决的是标准化、跨域、基于Web的单点登录（SSO）问题。SAML协议目前的版本是2.0，已经获得了行业的广泛认可，并被诸多主流厂商所支持，比如说我们经常使用的OKTA和G Suite等。

2. SAML协议的构成

SAML协议主要包含以下四方面内容：

• SAML Assertions 断言：定义交互的数据格式 (XML)
• SAML Protocols 协议：定义交互的消息格式 (XML+processing rules)
• SAML Bindings 绑定：定义如何与常见的通信协议绑定 (HTTP，SOAP)

• SAML Profile 使用框架：给出对 SAML 断言及协议如何使用的建议 (Protocols+Bindings)

  
  
  SAML协议的构成

3. SAML协议认证流程

常见的认证流程如下图所示。其中Service Provider为第三方服务，例如Timecard；User Agent为用户的浏览器；Identity Provider为认证服务器，例如OKTA。

SAML协议的认证流程图

1. 用户在浏览器中，试图访问第三方服务（SP）受保护的资源；

2. 如果用户没有登录，SP会初始化一个SAML请求（请求的示例参见下图），并请求浏览器使用重定向，将SAML请求转发到认证服务器（IdP），进行单点登录；

   
   
   SAML认证请求

3. 浏览器接收到SP的SAML认证请求，向认证服务发起认证请求，用户使用IdP的账号密码完成登录；

4. 当IdP认证完成之后会返回用户的SAML断言信息（响应的示例参见下图），并请求浏览器通过重定向，将SAML断言结果重定向到SP的消费端点上；

   
   
   SAML响应

5. 浏览器带上IdP返回的断言结果，请求SP的SAML消费端点，SP会完成SAML的安全校验，获取用户属性等，完成用户在SP上的登录；

6. 如果SAML断言标识用户已经认证通过，会再次请求浏览器重定向，将用户导向步骤1中请求的目标资源；

7. 浏览器向SP请求步骤1中的目标资源；

8. 用户已经登录认证成功，返回用户请求的目标资源。

4. SAML协议的优点

• 支持跨域的SSO登录。
• 提升安全。对于用户而言，无需使用多套账号、密码，降低账号泄露的风险，对企业而言，可以集中管理员工的权限，提升了内部系统的安全；
• 改善用户体验，用户只需要提供一套账号、密码，就可以消费其它SP提供的第三方服务；
• 降低企业的管理成本；
• 支持多种SaaS应用；
• 无需新增代码，SP就能支持多租户，与多个IdP服务集成。

5. SAML协议的不足

• 不支持新的认证场景。SAML协议的整个流程依赖于浏览器的重定向，不支持device flow、委托授权等用户场景，OIDC可以作为一种成熟的替代解决方案。

6. 相关的工具推荐

• SAML tracer：Chrome的一个插件，用于解析和查看SAML的断言信息，可以让你更懂SAML。
• SAML Tool：在线的SAML工具大全，你值得拥有。
• Python的SAML框架：Python3-SAML、SAML2。

7. 参考代码

• OneLogin的Python3-SAML

8. 相关扩展

• SAML协议文档
• SAML协议的Wiki