SAML,全稱為Security Assertion Markup Language脱吱,是一種用于安全性斷言的標(biāo)記預(yù)壓帚呼,目前的最新版本是2.0。原文地址
本系列相關(guān)文章:
OAuth2.0 協(xié)議入門指南
OpenID Connect 協(xié)議入門指南
OpenSAML示例
SAML在單點(diǎn)登錄中大有用處:在SAML協(xié)議中阐斜,一旦用戶身份被主網(wǎng)站(身份鑒別服務(wù)器衫冻,Identity Provider,IDP)認(rèn)證過(guò)后谒出,該用戶再去訪問(wèn)其他在主站注冊(cè)過(guò)的應(yīng)用(服務(wù)提供者隅俘,Service Providers,SP)時(shí)到推,都可以直接登錄考赛,而不用再輸入身份和口令。
SAML本身是一個(gè)很復(fù)雜的協(xié)議莉测,這里只選取最重要的部分為大家講解颜骤,更多細(xì)節(jié)請(qǐng)見(jiàn)官方文檔,后續(xù)的文章也會(huì)進(jìn)一步解析捣卤。
SAML協(xié)議的核心是: IDP和SP通過(guò)用戶的瀏覽器的重定向訪問(wèn)來(lái)實(shí)現(xiàn)交換數(shù)據(jù)忍抽。
SP向IDP發(fā)出SAML身份認(rèn)證請(qǐng)求消息,來(lái)請(qǐng)求IDP鑒別用戶身份董朝;IDP向用戶索要用戶名和口令鸠项,并驗(yàn)證其是否正確,如果驗(yàn)證無(wú)誤子姜,則向SP返回SAML身份認(rèn)證應(yīng)答祟绊,表示該用戶已經(jīng)登錄成功了,此外應(yīng)答中里還包括一些額外的信息哥捕,來(lái)卻確保應(yīng)答被篡改和偽造牧抽。
下面我們以用戶登錄SP,SP向IDP發(fā)起請(qǐng)求來(lái)確認(rèn)用戶身份為例子遥赚,看看SAML的工作流程扬舒。比如SP是Google的Apps,IDP是一所大學(xué)的身份服務(wù)器凫佛,Alice是該大學(xué)的一名學(xué)生讲坎。
現(xiàn)在Alice要通過(guò)瀏覽器查閱她的郵件孕惜,Alice一般會(huì)通過(guò)瀏覽器訪問(wèn)一個(gè)網(wǎng)頁(yè),比如https://mail.google.com/a/my-university.nl (step1)晨炕。因?yàn)檫@是個(gè)聯(lián)合身份域衫画,所以Google不會(huì)向用戶索要用戶名和密碼,而是將其從定向到IDP來(lái)認(rèn)證其身份(step3)府瞄。用戶被重定向的URL類似于這種:
https://idp.uni.nl/sso?
SAMLRequest=fVLLTuswEN0j8Q…c%3D
嵌入到HTTP請(qǐng)求中的SAMLRequest就是SAML認(rèn)證請(qǐng)求消息碧磅。因?yàn)镾AML是基于XML的(通常比較長(zhǎng)),完整認(rèn)證請(qǐng)求消息要經(jīng)過(guò)壓縮(為Url節(jié)省空間)和編碼(防止特殊字符)才能傳輸遵馆。在壓縮和編碼之前鲸郊,SAML消息有如下格式:
<AuthnRequest ID="kfcn...lfki"
Version="2.0"
IssueInstant="2013-02-05T08:28:50Z"
ProtocolBinding="urn:oasis:names:tc:SAML: 2.0:bindings:HTTP-POST"
ProviderName="google.com"
AssertionConsumerServiceURL="https://www.google.com/a/uni.nl/acs">
<Issuer>google.com</Issuer>
<NameIDPolicy AllowCreate="true"
Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"/>;
</AuthnRequest>;
上面的內(nèi)容用最直白的方式解釋出來(lái)就是:這個(gè)來(lái)自Google的請(qǐng)求,請(qǐng)驗(yàn)證當(dāng)前用戶的身份货邓,并將結(jié)果返回秆撮。
當(dāng)IDP收到消息并確認(rèn)要接受認(rèn)證請(qǐng)求之后,就會(huì)要求Alice輸入用戶名和口令來(lái)驗(yàn)證其身份(如果Alice已經(jīng)登錄過(guò)了换况,就會(huì)跳過(guò)該步驟)职辨;當(dāng)驗(yàn)證通過(guò)之后,Alice的瀏覽器將會(huì)跳轉(zhuǎn)回Google的特定頁(yè)面(AssertionConsumerService戈二,簡(jiǎn)稱ACS舒裤,step6)。同樣觉吭,SAML身份認(rèn)證響應(yīng)的內(nèi)容也是在壓縮并編碼后以參數(shù)的形式傳輸腾供。在壓縮和編碼之前茫舶,其結(jié)構(gòu)類如下:
<Response Version="2.0"
IssueInstant="2013-02-05T08:29:00Z"
Destination="https://www.google.com/a/my.uni.nl/acs" InResponseTo="kfcn...lfki">
<Issuer>https://idp.uni.nl/</Issuer>
<Status>
<StatusCode
Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</Status>
<Assertion Version="2.0"
IssueInstant="2013-02-05T08:29:00Z">
<Issuer>https://idp.uni.nl/</Issuer>
<Subject>
<NameID>alice</NameID>
<SubjectConfirmation ...>
<SubjectConfirmationData
NotOnOrAfter="2013-02-05T08:34:00Z"
Recipient="https://www.google.com/a/my.uni.nl/acs" InResponseTo="kfcn...lfki"/>
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2013-02-05T08:28:30Z" NotOnOrAfter="2013-02-05T08:34:00Z">
</Conditions>
<AuthnStatement
AuthnInstant="2013-02-05T08:29:00Z"
SessionNotOnOrAfter="2013-02-05T16:29:00Z>
</AuthnStatement>
</Assertion>
</Response>
雖然內(nèi)容很多闷愤,但是其主要表達(dá)的是:該消息來(lái)自idp.uni.nl富拗,名為Alice用戶的身份已經(jīng)被我驗(yàn)證倒得,該消息的有效期為2分鐘。此外栈暇,重定向的URL中還要有該消息的簽名以保證其不備篡改唉俗,驗(yàn)證簽名的公鑰和算法陌凳,都是IDP和SP提前協(xié)商好的嗓蘑。
當(dāng)Google接受到SAML認(rèn)證響應(yīng)之后须肆,會(huì)首先驗(yàn)證消息的簽名是否正確(step7)以及是否因超時(shí)而失效。然后再?gòu)恼J(rèn)證消息中提取出Google能識(shí)別用戶身份(NameID桩皿,即Alice)豌汇,如果以上的步驟都是順利的,用戶將會(huì)成功登陸Google(Step8)业簿。
為了便于解釋瘤礁,以上例子中的信息都保持了可讀性阳懂,如果想要去看看真實(shí)的SAML信息梅尤,建議推薦使用火狐瀏覽器的插件工具 SAML tracer柜思。該插件將會(huì)在瀏覽器中添加一個(gè)窗口來(lái)顯示SAML消息,以下是截圖:
希望以上的內(nèi)容能幫助你理解SAML協(xié)議巷燥。SAML協(xié)議的內(nèi)容十分復(fù)雜赡盘,但是涉及到單點(diǎn)登錄的內(nèi)容都是以上述內(nèi)容為基礎(chǔ)的。
更多關(guān)于SAML協(xié)議的是實(shí)現(xiàn)的內(nèi)容缰揪,請(qǐng)參見(jiàn)本人編寫的一系列教程文章來(lái)介紹如何使用OpenSAML陨享,歡迎閱讀指正:
