SAML协议 — 理解SAML2 协议和联合身份验证流程

1、SAML协议概念

安全断言标记语言，简称SAML，是一个基于 XML 的开源标准数据格式，它在当事方之间交换身份验证和授权数据，尤其是在身份提供者和服务提供者之间交换。SAML解决的最主要的需求是基于Web的单点登录（SSO），SAML2.0 可以实现基于网络跨域的单点登录（SSO）， 以便于减少向一个用户分发多个身份验证令牌的管理开销。

2、SAML 主体构成

在 SAML 协议中定义了三种角色：

• User Agent：用户代理，一般指自然人用户通过浏览器进行服务访问或者向其他服务提供者请求资源的的系统主体；

• IDP（Identity Provider）：一种服务提供者，它创建、维护和管理主体的身份信息，并向联邦内的其他服务提供者提供主体身份验证；简称 IdP，身份提供方能够向 SP 发送身份断言，所谓身份断言就是由 SP签发的，可以标识某个人身份的 Token，只不过，在 SAML 协议中，这个 Token 的格式是 XML 形式的。还有一些其他的身份提供方，例如 Okta、SSOCircle、Auth0，他们都可以向 SP 返回身份断言。

• SP（Service Provider）：一种服务提供者，通过解析IDP发出的身份认证断言，验证主体身份认证信息后，给主体或联邦内其他系统提供服务。简称 SP。什么是服务提供方？例如：阿里云控制台、腾讯云控制台、AWS 控制台这些都是服务提供方。

两个主体通过用户的浏览器进行信息交换。方式上，SP 可以返回带参数的重定向 HTTP 响应，让用户立刻通过参数将信息发给 IdP。而 IdP 会返回一个表单，同时还有一段立即提交表单的 JS 代码，从而让用户立刻将信息发给 SP。

总结一下，SP 提供服务，需要知道用户的身份，就需要向 IdP 询问。IdP 知道用户的身份，当用户在 IdP 登录成功，IdP 就将用户的身份以 SAML 断言的形式发给 SP。SP 信任 IdP 发来的身份断言，从而赋予该用户在 SP 的相关权限。

3、理解 SAML 流程

3.1 发起 SAML 登录到登录成功的整个过程：

1. 用户试图登录 SP 提供的应用。
2. SP 生成 SAML Request，通过浏览器重定向，向 IdP 发送 SAML Request。
3. IdP 解析 SAML Request 并将用户重定向到认证页面。
4. 用户在认证页面完成登录。
5. IdP 生成 SAML Response，通过对浏览器重定向，向 SP 的 ACS 地址返回 SAML Response，其中包含 SAML Assertion 用于确定用户身份。
6. SP 对 SAML Response 的内容进行检验。
7. 用户成功登录到 SP 提供的应用。

3.2 SP 与 IdP 之间通信方式

SP 与 IdP 之间的通信方式分为 HTTP Redirect Binding、HTTP POST Binding、HTTP Artifact Binding。每种方式在不同的阶段会用不同类型的 HTTP 与对方通信。

HTTP Redirect Binding
SP 通过重定向 GET 请求把 SAML Request 发送到 IdP，IdP 通过立即提交的 Form 表单以 POST 请求的方式将 SAML Response 发到 SP。

HTTP POST Binding
SP 通过立即提交的 Form 表单以 POST 请求的方式将 SAML Request 发到 IdP。IdP 通过立即提交的 Form 表单以 POST 请求的方式将 SAML Response 发到 SP。

HTTP Artifact Binding
SP、IdP 双方只通过浏览器交换 SAML Request、SAML Response 的索引编号，收到编号后，在后端请求对方的 Artifact Resolution Service 接口来获取真正的请求实体内容。从而避免 SAML Request、SAML Response 暴露在前端。

不同的Binding方式使用不同的通信方式和消息体，使用最多的是HTTP Redirect Binding和HTTP POST Binding方式，其次是HTTP Artifact Binding。常用方式是SP使用HTTP Redirect Binding通过浏览器将SAMLRequest转发到IDP的SSO地址，IDP使用HTTP POST Binding方式将用SAMLResponse返回到SP的ACS地址。

参考资料:
https://docs.microsoft.com/zh-cn/azure/active-directory/saas-apps/saml-toolkit-tutorial
​https://help.aliyun.com/document_detail/160431.html?scm=20140722.184.2.173#h2-78q-k9u-yay