转载 | 科普一下 SAML：安全声明标记语言

时间 2019-11-08

标签转载科普一下 saml 安全声明标记语言栏目系统安全繁體版

原文原文链接

随着互联网的普及，物联网的逼近，数字化时代的真正到来，身份认证与访问受权的重要性愈来愈凸显。SAML（安全声明标记语言）标准定义了供应商提供身份验证与受权服务的方式。那么关于SAML，咱们须要知道些什么呢？html

首先，SAML是可在网络中多台计算机上共享安全凭证的一个开放标准。该标准描述了一个框架，可以使1台计算机表明其余多台计算机执行某些安全功能。git

身份验证：肯定用户身份与其所声称的相符
受权：肯定用户是否有权访问特定系统或内容

严格来说，SAML是指用于编码全部这些信息的XML变体语言，但该术语也涵盖了组成该标准的各类协议消息和资料。github

SAML 2.0在2005年引入，还是该标准的当前版本。以前的1.1版现在已基本弃用。浏览器

SAML是实现单点登陆(SSO)的一种方法，且SSO也确实是SAML最多见的用例。咱们能够从SSO开始讨论SAML的用途，而后深刻SAML的组件和操做。安全

SSO是什么？它能干什么？

单点登陆(SSO)，可以使用户提供一次安全凭证(好比用户名/口令对)，就能以之访问多个系统、平台、App或其余资源。该方法能将用户从记忆多组登陆名及口令的负担中解脱出来，也可令IT团队不用再将多个服务整合到一台服务器上，真是让事情简单很多。服务器

好比说，公司可用SSO让用户既能登陆内部服务器上运行的专用Web应用，也能登陆托管在SaaS上的ERP（企业资源计划）系统。网络

想要发挥SSO的功用，用户必需要能通过身份验证就收到受权。基于其被证明的身份，访问其余多台计算机。或者以另外一种方式：1台计算机向在其余多台计算机上被受权的用户提供服务。SAML标准定义了全部这些计算机之间相互安全通讯的方式。app

SAML提供者是什么？

SAML术语中，提供者是系统中的一个实体，一般来说就是一台服务器或其余计算机，帮助用户访问所需的服务。提供或消费SAML服务的系统，通常被称为服务提供者；最重要的一种服务提供者，就是身份提供者。框架

身份提供者是什么？

身份提供者是系统中的一个实体，用于确保用户真的是其所声称的身份——提供身份验证。身份提供者还负责确认系统中各实体上哪些服务能够被该用户访问。可按SAML标准提供身份验证服务的实现有不少种，好比Salesforce就能充当身份提供者和这一角色，LDAP、RADIUS或活动目录(AD)也能够。编码

SAML声明是什么？

SAML声明就是一份XML文档，全部咱们讨论的信息都经过它在计算机间传递。一旦身份提供者确认你确实是所声称的用户，且有权访问你感兴趣的内容或服务，它就会向实际提供这些服务的服务器发出SAML声明。出于安全考虑，SAML声明可被加密。

SAML身份验证如何进行？

这看起来可能有点抽象，不妨看看下面这张SAML身份验证事务处理的高级视图。大多数状况下用户代理都是Web浏览器。

![img](http://www.aqniu.com/wp-content/uploads/2017/11/security-assertion-markup-language-saml-explainer-100738529-orig.jpg)

假设你是SSO环境中的用户，你正试图访问服务器上的某资源。所涉及的一系列事件以下：

你试图访问服务器上的资源，也就是SAML术语中的服务提供者。该服务提供者查验你是不是系统中经验证过的用户。若是你是，直接跳转到步骤7；若是你不是，服务提供者开始身份验证过程。
服务提供者为你肯定恰当的身份提供者，并将你重定向到该提供者——也就是SSO服务。
你的浏览器向SSO服务发送身份验证请求；该服务对你进行识别。
SSO服务返回一个XHTML文档，在SAMLResponse参数中包含有服务提供者所需的身份验证信息。
SAMLResponse参数被传递给服务提供者。
服务提供者处理该响应，并为你建立安全上下文——基本上，就是让你登陆进去，而后告诉你你请求的资源在哪里。
有了该信息，你就能够再次请求你感兴趣的资源了。
该资源最终被返回给你！

你会注意到，该过程当中不少步骤很抽象。好比说，SAML是怎么知道恰当的身份提供者的，或者身份提供者是如何肯定你就是你所声称的用户的，这些都没有任何解释。这不是什么疏漏：SAML标准并无定义确切的实现方法，给IT留有不少余地。

正如前文所述，有不少技术可供实际身份验证过程所用；不管你选择的是Salesforce、LDAP仍是别的什么，SAML声明都会将你通过验证的信息在提供者间流转。

若是你想了解更多有关SAML事务中消息传递的细节，你能够深刻研究完整XML代码，了解上述场景中从身份提供者传递给服务提供者的各类声明。

SAML vs. OAuth：其间区别是什么？

OAuth

OAuth(https://oauth.net/)是比SAML略新的标准，由谷歌和推特在2006年联合开发。该标准被开发的部分缘由，是为了补充SAML在移动平台上的不足，且不是基于XML，而是基于JSON。

![img](http://www.aqniu.com/wp-content/uploads/2017/11/OAuth.jpg)

除了SAML不那么吸引人的移动支持，这两者之间的区别在哪里呢？如咱们所见，SAML标准定义了提供者提供身份验证和受权服务的方式。OAuth则否则，仅处理受权。

OpenID Connect

OpenID Connect(http://openid.net/connect/)是更新的标准，于2014年开发，提供身份验证服务，处于OAuth上层。

![img](http://www.aqniu.com/wp-content/uploads/2017/11/OpenID.jpg)

另外一个主要的不一样，就是其用例。SAML理论上用于开放互联网，实际上最常部署在企业内网，出于单点登陆目的。相比之下，OAuth则是谷歌和推特为了整个互联网而设计的。

原文连接：https://www.aqniu.com/tools-tech/29359.html 做者：nana 星期六, 十一月 11, 2017

什么是 Authing？

Authing 提供专业的身份认证和受权服务。
咱们为开发者和企业提供用以保证应用程序安全所需的认证模块，这让开发人员无需成为安全专家。
你能够将任意平台的应用接入到 Authing（不管是新开发的应用仍是老应用均可以），同时你还能够自定义应用程序的登陆方式（如：邮箱/密码、短信/验证码、扫码登陆等）。
你能够根据你使用的技术，来选择咱们的 SDK 或调用相关 API 来接入你的应用。当用户发起受权请求时，Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。

Authing 在应用交互中的位置

官网：http://authing.cn
小登陆：https://wxapp.authing.cn/#/
仓库： 欢迎 Star，欢迎 PR
- https://gitee.com/Authi_ng
- https://github.com/authing
Demo：
- https://sample.authing.cn
- https://github.com/Authing/qrcode-sample
文档：https://docs.authing.cn/authing/