转载-科普一下-SAML安全声明标记语言

随着互联网的普及，物联网的逼近，数字化时代的真正到来，身份认证与访问授权的重要性越来越凸显。SAML（安全声明标记语言）标准定义了供应商提供身份验证与授权服务的方式。那么关于 SAML，我们需要知道些什么呢？

首先，SAML 是可在网络中多台计算机上共享安全凭证的一个开放标准。该标准描述了一个框架，可使 1 台计算机代表其他多台计算机执行某些安全功能。

• 身份验证：确定用户身份与其所声称的相符
• 授权：确定用户是否有权访问特定系统或内容

严格来讲，SAML 是指用于编码所有这些信息的 XML 变体语言，但该术语也涵盖了组成该标准的各种协议消息和资料。

SAML 2.0在 2005 年引入，仍是该标准的当前版本。之前的 1.1 版如今已基本弃用。

SAML 是实现单点登录 (SSO) 的一种方法，且 SSO 也确实是 SAML 最常见的用例。我们可以从 SSO 开始讨论 SAML 的用途，然后深入 SAML 的组件和操作。

SSO 是什么？它能干什么？

单点登录(SSO)，可使用户提供一次安全凭证(比如用户名 / 口令对)，就能以之访问多个系统、平台、App 或其他资源。该方法能将用户从记忆多组登录名及口令的负担中解脱出来，也可令 IT 团队不用再将多个服务整合到一台服务器上，真是让事情简单不少。

比如说，公司可用 SSO 让用户既能登录内部服务器上运行的专用 Web 应用，也能登录托管在 SaaS 上的 ERP（企业资源计划）系统。

想要发挥 SSO 的功用，用户必须要能经过身份验证就收到授权。基于其被证实的身份，访问其他多台计算机。或者以另一种方式：1 台计算机向在其他多台计算机上被授权的用户提供服务。SAML 标准定义了所有这些计算机之间相互安全通信的方式。

SAML 提供者是什么？

SAML 术语中，提供者 是系统中的一个实体，通常来讲就是一台服务器或其他计算机，帮助用户访问所需的服务。提供或消费 SAML 服务的系统，一般被称为服务提供者；最重要的一种服务提供者，就是身份提供者。

身份提供者是什么？

身份提供者 是系统中的一个实体，用于确保用户真的是其所声称的身份——提供身份验证。身份提供者还负责确认系统中各实体上哪些服务可以被该用户访问。可按 SAML 标准提供身份验证服务的实现有很多种，比如 Salesforce 就能充当身份提供者和这一角色，LDAP、RADIUS 或活动目录 (AD) 也可以。

SAML 声明是什么？

SAML 声明就是一份 XML 文档，所有我们讨论的信息都通过它在计算机间传递。一旦身份提供者确认你确实是所声称的用户，且有权访问你感兴趣的内容或服务，它就会向实际提供这些服务的服务器发出 SAML 声明。出于安全考虑，SAML 声明可被加密。

SAML 身份验证如何进行？

这看起来可能有点抽象，不妨看看下面这张 SAML 身份验证事务处理的高级视图。大多数情况下用户代理都是 Web 浏览器。

假设你是 SSO 环境中的用户，你正试图访问服务器上的某资源。所涉及的一系列事件如下：

1. 你试图访问服务器上的资源，也就是 SAML 术语中的服务提供者。该服务提供者查验你是否是系统中经验证过的用户。如果你是，直接跳转到步骤 7；如果你不是，服务提供者开始身份验证过程。
2. 服务提供者为你确定恰当的身份提供者，并将你重定向到该提供者——也就是 SSO 服务。
3. 你的浏览器向 SSO 服务发送身份验证请求；该服务对你进行识别。
4. SSO 服务返回一个 XHTML 文档，在 SAMLResponse 参数中包含有服务提供者所需的身份验证信息。
5. SAMLResponse 参数被传递给服务提供者。
6. 服务提供者处理该响应，并为你创建安全上下文——基本上，就是让你登录进去，然后告诉你你请求的资源在哪里。
7. 有了该信息，你就可以再次请求你感兴趣的资源了。
8. 该资源最终被返回给你！

你会注意到，该过程中很多步骤很抽象。比如说，SAML 是怎么知道恰当的身份提供者的，或者身份提供者是如何确定你就是你所声称的用户的，这些都没有任何解释。这不是什么疏漏：SAML 标准并没有定义确切的实现方法，给 IT 留有很多余地。

正如前文所述，有很多技术可供实际身份验证过程所用；无论你选择的是 Salesforce、LDAP 还是别的什么，SAML 声明都会将你经过验证的信息在提供者间流转。

如果你想了解更多有关 SAML 事务中消息传递的细节，你可以深入研究完整 XML 代码，了解上述场景中从身份提供者传递给服务提供者的各种声明。

SAML vs. OAuth：其间区别是什么？

OAuth

OAuth(https://oauth.net/)是比 SAML 略 …，由谷歌和推特在 2006 年联合开发。该标准被开发的部分原因，是为了补充 SAML 在移动平台上的不足，且不是基于 XML，而是基于 JSON。

除了 SAML 不那么吸引人的移动支持，这二者之间的区别在哪里呢？如我们所见，SAML 标准定义了提供者提供身份验证和授权服务的方式。OAuth 则不然，仅处理授权。

OpenID Connect

OpenID Connect(http://openid.net/connect/)是 …，于 2014 年开发，提供身份验证服务，处于 OAuth 上层。

另一个主要的不同，就是其用例。SAML 理论上用于开放互联网，实际上最常部署在企业内网，出于单点登录目的。相比之下，OAuth 则是谷歌和推特为了整个互联网而设计的。

原文链接：https://www.aqniu.com/tools-t… 作者：nana 星期六, 十一月 11, 2017

相关阅读

• Authing 是什么以及为什么需要 Authing
• 我们为什么坚持做 ToB 的慢生意
• Authing 知识库

什么是 Authing？

Authing 提供专业的身份认证和授权服务。
我们为开发者和企业提供用以保证应用程序安全所需的认证模块，这让开发人员无需成为安全专家。
你可以将任意平台的应用接入到 Authing（无论是新开发的应用还是老应用都可以），同时你还可以自定义应用程序的登录方式（如：邮箱 / 密码、短信 / 验证码、扫码登录等）。
你可以根据你使用的技术，来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时，Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。

<div align=center>Authing 在应用交互中的位置 </div>

• 官网：http://authing.cn
• 小登录：https://wxapp.authing.cn/#/

• 仓库： 欢迎 Star，欢迎 PR

  • https://gitee.com/Authi_ng
  • https://github.com/authing

• Demo：

  • https://sample.authing.cn
  • https://github.com/Authing/qr…
• 文档：https://docs.authing.cn/authing/

欢迎关注 Authing 技术专栏