科普一下SAML:安全声明标记语言


发布人:admin分类:网络安全浏览量:98发布时间:2017-11-29

CTO训练营 | 12月3-5日,深圳,是时候成为优秀的技术管理者了


随着互联网的普及,物联网的逼近,数字化时代的真正到来,身份认证与访问授权的重要性越来越凸显。SAML(安全声明标记语言)标准定义了供应商提供身份验证与授权服务的方式。那么关于SAML,我们需要知道些什么呢?

SAML

首先,SAML是可在网络中多台计算机上共享安全凭证的一个开放标准。该标准描述了一个框架,可使1台计算机代表其他多台计算机执行某些安全功能。

  • 身份验证:确定用户身份与其所声称的相符
  • 授权:确定用户是否有权访问特定系统或内容

严格来讲,SAML是指用于编码所有这些信息的XML变体语言,但该术语也涵盖了组成该标准的各种协议消息和资料。

SAML 2.0在2005年引入,仍是该标准的当前版本。之前的1.1版如今已基本弃用。

SAML是实现单点登录(SSO)的一种方法,且SSO也确实是SAML最常见的用例。我们可以从SSO开始讨论SAML的用途,然后深入SAML的组件和操作。

SSO是什么?它能干什么?

单点登录(SSO),可使用户提供一次安全凭证(比如用户名/口令对),就能以之访问多个系统、平台、App或其他资源。该方法能将用户从记忆多组登录名及口令的负担中解脱出来,也可令IT团队不用再将多个服务整合到一台服务器上,真是让事情简单不少。

比如说,公司可用SSO让用户既能登录内部服务器上运行的专用Web应用,也能登录托管在SaaS上的ERP(企业资源计划)系统。

想要发挥SSO的功用,用户必须要能经过身份验证就收到授权。基于其被证实的身份,访问其他多台计算机。或者以另一种方式:1台计算机向在其他多台计算机上被授权的用户提供服务。SAML标准定义了所有这些计算机之间相互安全通信的方式。

SAML提供者是什么?

SAML术语中,提供者是系统中的一个实体,通常来讲就是一台服务器或其他计算机,帮助用户访问所需的服务。提供或消费SAML服务的系统,一般被称为服务提供者;最重要的一种服务提供者,就是身份提供者。

身份提供者是什么?

身份提供者是系统中的一个实体,用于确保用户真的是其所声称的身份——提供身份验证。身份提供者还负责确认系统中各实体上哪些服务可以被该用户访问。可按SAML标准提供身份验证服务的实现有很多种,比如Salesforce就能充当身份提供者和这一角色,LDAP、RADIUS或活动目录(AD)也可以。

SAML声明是什么?

SAML声明就是一份XML文档,所有我们讨论的信息都通过它在计算机间传递。一旦身份提供者确认你确实是所声称的用户,且有权访问你感兴趣的内容或服务,它就会向实际提供这些服务的服务器发出SAML声明。出于安全考虑,SAML声明可被加密。

SAML身份验证如何进行?

这看起来可能有点抽象,不妨看看下面这张SAML身份验证事务处理的高级视图。大多数情况下用户代理都是Web浏览器。

SAML身份验证事务处理的高级视图

假设你是SSO环境中的用户,你正试图访问服务器上的某资源。所涉及的一系列事件如下:

  1. 你试图访问服务器上的资源,也就是SAML术语中的服务提供者。该服务提供者查验你是否是系统中经验证过的用户。如果你是,直接跳转到步骤7;如果你不是,服务提供者开始身份验证过程。
  2. 服务提供者为你确定恰当的身份提供者,并将你重定向到该提供者——也就是SSO服务。
  3. 你的浏览器向SSO服务发送身份验证请求;该服务对你进行识别。
  4. SSO服务返回一个XHTML文档,在SAMLResponse参数中包含有服务提供者所需的身份验证信息。
  5. SAMLResponse参数被传递给服务提供者。
  6. 服务提供者处理该响应,并为你创建安全上下文——基本上,就是让你登录进去,然后告诉你你请求的资源在哪里。
  7. 有了该信息,你就可以再次请求你感兴趣的资源了。
  8. 该资源最终被返回给你!

你会注意到,该过程中很多步骤很抽象。比如说,SAML是怎么知道恰当的身份提供者的,或者身份提供者是如何确定你就是你所声称的用户的,这些都没有任何解释。这不是什么疏漏:SAML标准并没有定义确切的实现方法,给IT留有很多余地。

正如前文所述,有很多技术可供实际身份验证过程所用;无论你选择的是Salesforce、LDAP还是别的什么,SAML声明都会将你经过验证的信息在提供者间流转。

如果你想了解更多有关SAML事务中消息传递的细节,你可以深入研究完整XML代码,了解上述场景中从身份提供者传递给服务提供者的各种声明。

SAML vs. OAuth:其间区别是什么?

OAuth(https://oauth.net/)是比SAML略新的标准,由谷歌和推特在2006年联合开发。该标准被开发的部分原因,是为了补充SAML在移动平台上的不足,且不是基于XML,而是基于JSON。

SAML vs. OAuth:其间区别是什么?

除了SAML不那么吸引人的移动支持,这二者之间的区别在哪里呢?如我们所见,SAML标准定义了提供者提供身份验证和授权服务的方式。OAuth则不然,仅处理授权。

OpenID Connect(http://openid.net/connect/)是更新的标准,于2014年开发,提供身份验证服务,处于OAuth上层。

OpenID Connect

另一个主要的不同,就是其用例。SAML理论上用于开放互联网,实际上最常部署在企业内网,出于单点登录目的。相比之下,OAuth则是谷歌和推特为了整个互联网而设计的。

【编辑推荐】

  1. IFAA开放能力,正式启动中小企业互联网身份认证加速器计划
  2. 胡永涛:eID网络身份认证技术分析
  3. 孙平:构建安全多样的身份认证体系
  4. 网络安全形势不容乐观 加强网络身份认证体系建设势在必行
  5. 从国家治理视角看网络身份认证的现状和困境
【责任编辑:赵宁宁 TEL:(010)68476606】

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:22009370(PV) 页面执行时间:52.065(MS)
  • xml
  • 网站地图