随着互联网的普及,物联网的逼近,数字化时代的真正到来,身份认证与访问授权的重要性越来越凸显。SAML(安全声明标记语言)标准定义了供应商提供身份验证与授权服务的方式。那么关于 SAML,我们需要知道些什么呢?
首先,SAML 是可在网络中多台计算机上共享安全凭证的一个开放标准。该标准描述了一个框架,可使 1 台计算机代表其他多台计算机执行某些安全功能。
- 身份验证:确定用户身份与其所声称的相符
- 授权:确定用户是否有权访问特定系统或内容
严格来讲,SAML 是指用于编码所有这些信息的 XML 变体语言,但该术语也涵盖了组成该标准的各种协议消息和资料。
SAML 2.0在 2005 年引入,仍是该标准的当前版本。之前的 1.1 版如今已基本弃用。
SAML 是实现单点登录 (SSO) 的一种方法,且 SSO 也确实是 SAML 最常见的用例。我们可以从 SSO 开始讨论 SAML 的用途,然后深入 SAML 的组件和操作。
SSO 是什么?它能干什么?
单点登录(SSO),可使用户提供一次安全凭证(比如用户名 / 口令对),就能以之访问多个系统、平台、App 或其他资源。该方法能将用户从记忆多组登录名及口令的负担中解脱出来,也可令 IT 团队不用再将多个服务整合到一台服务器上,真是让事情简单不少。
比如说,公司可用 SSO 让用户既能登录内部服务器上运行的专用 Web 应用,也能登录托管在 SaaS 上的 ERP(企业资源计划)系统。
想要发挥 SSO 的功用,用户必须要能经过身份验证就收到授权。基于其被证实的身份,访问其他多台计算机。或者以另一种方式:1 台计算机向在其他多台计算机上被授权的用户提供服务。SAML 标准定义了所有这些计算机之间相互安全通信的方式。
SAML 提供者是什么?
SAML 术语中,提供者 是系统中的一个实体,通常来讲就是一台服务器或其他计算机,帮助用户访问所需的服务。提供或消费 SAML 服务的系统,一般被称为服务提供者;最重要的一种服务提供者,就是身份提供者。
身份提供者是什么?
身份提供者 是系统中的一个实体,用于确保用户真的是其所声称的身份——提供身份验证。身份提供者还负责确认系统中各实体上哪些服务可以被该用户访问。可按 SAML 标准提供身份验证服务的实现有很多种,比如 Salesforce 就能充当身份提供者和这一角色,LDAP、RADIUS 或活动目录 (AD) 也可以。
SAML 声明是什么?
SAML 声明就是一份 XML 文档,所有我们讨论的信息都通过它在计算机间传递。一旦身份提供者确认你确实是所声称的用户,且有权访问你感兴趣的内容或服务,它就会向实际提供这些服务的服务器发出 SAML 声明。出于安全考虑,SAML 声明可被加密。
SAML 身份验证如何进行?
这看起来可能有点抽象,不妨看看下面这张 SAML 身份验证事务处理的高级视图。大多数情况下用户代理都是 Web 浏览器。
假设你是 SSO 环境中的用户,你正试图访问服务器上的某资源。所涉及的一系列事件如下:
- 你试图访问服务器上的资源,也就是 SAML 术语中的服务提供者。该服务提供者查验你是否是系统中经验证过的用户。如果你是,直接跳转到步骤 7;如果你不是,服务提供者开始身份验证过程。
- 服务提供者为你确定恰当的身份提供者,并将你重定向到该提供者——也就是 SSO 服务。
- 你的浏览器向 SSO 服务发送身份验证请求;该服务对你进行识别。
- SSO 服务返回一个 XHTML 文档,在 SAMLResponse 参数中包含有服务提供者所需的身份验证信息。
- SAMLResponse 参数被传递给服务提供者。
- 服务提供者处理该响应,并为你创建安全上下文——基本上,就是让你登录进去,然后告诉你你请求的资源在哪里。
- 有了该信息,你就可以再次请求你感兴趣的资源了。
- 该资源最终被返回给你!
你会注意到,该过程中很多步骤很抽象。比如说,SAML 是怎么知道恰当的身份提供者的,或者身份提供者是如何确定你就是你所声称的用户的,这些都没有任何解释。这不是什么疏漏:SAML 标准并没有定义确切的实现方法,给 IT 留有很多余地。
正如前文所述,有很多技术可供实际身份验证过程所用;无论你选择的是 Salesforce、LDAP 还是别的什么,SAML 声明都会将你经过验证的信息在提供者间流转。
如果你想了解更多有关 SAML 事务中消息传递的细节,你可以深入研究完整 XML 代码,了解上述场景中从身份提供者传递给服务提供者的各种声明。
SAML vs. OAuth:其间区别是什么?
OAuth
OAuth(https://oauth.net/)是比 SAML 略 …,由谷歌和推特在 2006 年联合开发。该标准被开发的部分原因,是为了补充 SAML 在移动平台上的不足,且不是基于 XML,而是基于 JSON。
除了 SAML 不那么吸引人的移动支持,这二者之间的区别在哪里呢?如我们所见,SAML 标准定义了提供者提供身份验证和授权服务的方式。OAuth 则不然,仅处理授权。
OpenID Connect
OpenID Connect(http://openid.net/connect/)是 …,于 2014 年开发,提供身份验证服务,处于 OAuth 上层。
另一个主要的不同,就是其用例。SAML 理论上用于开放互联网,实际上最常部署在企业内网,出于单点登录目的。相比之下,OAuth 则是谷歌和推特为了整个互联网而设计的。
原文链接:https://www.aqniu.com/tools-t… 作者:nana 星期六, 十一月 11, 2017
相关阅读
- Authing 是什么以及为什么需要 Authing
- 我们为什么坚持做 ToB 的慢生意
- Authing 知识库
什么是 Authing?
Authing 提供专业的身份认证和授权服务。
我们为开发者和企业提供用以保证应用程序安全所需的认证模块,这让开发人员无需成为安全专家。
你可以将任意平台的应用接入到 Authing(无论是新开发的应用还是老应用都可以),同时你还可以自定义应用程序的登录方式(如:邮箱 / 密码、短信 / 验证码、扫码登录等)。
你可以根据你使用的技术,来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时,Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。
<div align=center>Authing 在应用交互中的位置 </div>
- 官网:http://authing.cn
- 小登录:https://wxapp.authing.cn/#/
-
仓库: 欢迎 Star,欢迎 PR
- https://gitee.com/Authi_ng
- https://github.com/authing
-
Demo:
- https://sample.authing.cn
- https://github.com/Authing/qr…
- 文档:https://docs.authing.cn/authing/
欢迎关注 Authing 技术专栏