SAML- 安全断言标记语言

一、概念

安全断言标记语言(SAML)是一种开放标准,用于在各方之间(特别是身份提供商和服务提供商之间)交换身份验证和授权数据。SAML

是一种基于XML的安全断言标记语言(服务提供商用来做出访问控制决策的语句)。SAML 也是:

  • 一组基于 XML 的协议消息
  • 一组协议消息绑定
  • 一组配置文件(利用以上所有内容)

SAML 解决的一个重要用例是Web 浏览器 单点登录(SSO)。单点登录在安全域内相对容易实现(例如,使用cookie ),但跨安全域扩展

SSO 则更加困难,并导致不可互操作的专有技术的激增。SAML Web 浏览器 SSO 配置文件经过指定和标准化以促进互操作性。

SAML 规范定义了三种角色:主体(通常是用户)、身份提供者(IdP) 和服务提供者(SP)。

二、原理

1. 请求 SP 处的目标资源(仅限 SAML 2.0)

主体(通过 HTTP 用户代理)向服务提供者请求目标资源:

复制代码
https://sp.example.com/myresource
2. 重定向到 IdP 处的 SSO 服务(仅限 SAML 2.0)

服务提供商确定用户的首选身份提供商(通过未指定的方式)并将用户代理重定向到身份提供商处的 SSO 服务:

复制代码
https://idp.example.org/SAML2/SSO/Redirect?SAMLRequest=request

参数的值SAMLRequest(由上面的占位符表示request)是压缩元素的Base64编码。 samlp:AuthnRequest

3. 在 IdP 处请求 SSO 服务(仅限 SAML 2.0)

用户代理通过步骤 2 中的 URL 向 SSO 服务发出 GET 请求。SSO 服务处理该请求AuthnRequest(通过 URL 查询参数发送SAMLRequest)并执行安全检查。如果用户没有有效的安全上下文,身份提供者将识别该用户(详细信息省略)。

4. 使用 XHTML 表单进行响应

SSO 服务验证请求并使用包含 XHTML 表单的文档进行响应:

复制代码
    <form method="post" action="https://sp.example.com/SAML2/SSO/POST" ...>
    <input type="hidden" name="SAMLResponse" value="response" />
    ...
    <input type="submit" value="Submit" />
  </form>
5. 在SP处请求断言消费者服务

用户代理向服务提供者处的断言消费者服务发出 POST 请求。参数值SAMLResponse取自步骤 4 中的 XHTML 表单。

6.重定向到目标资源

断言消费者服务处理响应,在服务提供者处创建安全上下文并将用户代理重定向到目标资源。

7、再次向SP请求目标资源

用户代理(再次)向服务提供者请求目标资源:

复制代码
https://sp.example.com/myresource
8. 响应请求的资源

由于存在安全上下文,服务提供者将资源返回给用户代理。

相关推荐
数据知道3 分钟前
VLAN 与安全隔离:从配置错误到 VLAN Hopping 攻击
网络·安全·网络安全·智能路由器
Sagittarius_A*21 分钟前
Open HTTP Redirect 开放重定向漏洞:URL 跳转校验缺陷与绕过技术
网络·安全·web安全·http·dvwa·burp suite
头茬韭菜9 小时前
4.4 文件编辑安全 — 权限决策与脏写防护的工程实现
安全
Cx330❀10 小时前
【MySQL基础】一文吃透“表的约束”:从 Null/Default 到主外键的终极安全法则
linux·服务器·数据库·c++·mysql·安全
醉颜凉10 小时前
“三把钥匙开一把锁”:多签钱包深度解析与资产安全提升指南
安全·区块链
Haoxuekeji10 小时前
山东 AI 智能批改校园电子阅卷企业
大数据·人工智能·深度学习·安全·ai
程序员JerrySUN10 小时前
Jetson 刷机深度解析:flash.sh vs l4t_initrd_flash.sh(含安全与磁盘加密对比)
linux·网络·arm开发·安全·系统安全
银河麒麟操作系统10 小时前
闸机高效稳跑,通勤提速升级!银河麒麟赋能北京轨交新基建
运维·服务器·安全·交通物流
鹿鸣天涯11 小时前
kali 2026.2 2026年第二个版本发布-新增 9 款工具并优化虚拟机启动性能
安全·web安全·kali
无忧智库12 小时前
中大型企业整体网络安全解决方案:从“边界防火墙”到安全运营闭环(PPT)
安全·web安全