SAML.rar_Java8_saml_samlwebservice_saml2.0_saml协议

共1个文件

pdf：1个

版权申诉

saml

saml2.0

42 浏览量 2022-09-20 19:51:23 上传评论收藏 843KB RAR 举报

资源详情

资源评论

资源推荐

收起资源包目录

SAML.rar （1个子文件）

SAML文档详细介绍.pdf 872KB

什么是

SAML

安全断言标记语言（ SAML ， Security Assertion Markup Language ）是一种可扩展标识语言

（ XML ）标准，它允许用户登录一次相关但单独的网站。 SAML 设计用于商户对商户（ B2B

）

以及商户对顾客（ B2C ）的事务处理。

SAML 定义三种元件：断言、协议以及约束。存在验证、标志、授权三种断言。验证断

言确认用户的身份，标志断言包含特定的用户信息，授权断言确认用户得到授权。

协议定义 SAML 如何请求和接收断言。约束定义如何将 SAML 消息交换映射成简单对

象访问协议（ SOAP ）交换。 SAML 与多个协议一起工作，包括超文本传输协议（ HTTP ）、

简单邮件传输协议（ SMTP ）、文件传输协议（ FTP ），它还支持 SOAP 、 BizTalk 以及电子商

务 XML （ ebXML ）。结构化信息标准促进组织（ OASIS ）是 SAML 的标准组织。

SAML

标准

协议

SAML 是 OASIS 制定的一种安全性断言标记语言，它用于在复杂的环境下交换用户的

身份识别信息。在 SAML 诞生之前，如果想在 Websphere 、 Weblogic 和 SunONE 等之间实

现 SSO ，我们必须分别实现一个适配层，来达成一种相互理解的协议，在该协议上，产品

能够共享各自的用户认证 / 授权信息。 SAML 诞生之后，我们免去了这种烦恼。可以预计，

将来大部分产品都可以实现基于 SAML 的联邦服务。

事实上， SAML 已经在很多商业 / 开源产品中得到实现，包括：

IBM Tivoli Access Manager

Weblogic

Oblix NetPoint

SunONE Identity Server

Baltimore, SelectAccess

Entegrity Solutions AssureAccess

Internet2 OpenSAML

Yale CAS 3

Netegrity SiteMinder

Sigaba Secure Messaging Solutions

RSA Security ClearTrust

VeriSign Trust Integration Toolkit

Entrust GetAccess 7

SAML 背后是强大的商业联盟和开源联盟，尽管 Microsoft 迟迟未能在 SAML2.0 观点上

达成一致，但它也正努力跟进 SAML 标准化过程，由此可见 SAML 协议已经是势在必行。

1 SAML

SAML

的基本概念

理解 SAML 的概念很重要，个人认为 SAML 协议的原理跟 CAS/Kerberos 很类似，理解

上不存在困难，但 SAML 引入了一些新的概念名词，因此要先把握清楚这些概念。

断言，这个在 SAML 的 ” A ” ，是整个 SAML 协议中出现的最多的字眼，我们可以将断

言看作是一种判断，并且我们相信这种判断，因此，做出断言的一方必须被信赖。校验来自

断言方的断言必须通过一些手段，比如数字签名，以确保断言的确实来自断言方。

SAML 目标是让多个应用间实现联邦身份 (IdentityFederation) ，提起联邦，大家可以想

象一下欧盟，欧盟国家之间的公民都具有一个联邦身份，比如 Peter 是法国公民， John 是比

利时公民，这两个公民的身份都能够互相被共享，恰好，张三是一个中国公民，但他能像

Peter 和 Jhhn 那样随意进入欧盟国家，显然不能，因为它不具有欧盟联邦身份。

理解了联邦的概念，我们就可以回到 SAML 上， SAML 解决了联邦环境中如何识别身

份信息共享的标准化问题，比如，法国的 Peter 进入比利时，他如何证明自己的身份呢？

SAML 就是为了解决这个问题。

在联邦环境中，通常有下面的 3 种实体：

Subjec t 主题 ) ： Subjec t 是 SAM L 实体中的第一个重要的概念， Subjec t 包括了 User 、 Entity

、

Workstation 等能够象征一个参与信息交换的实体。

RelyingParty 信任方 ) ： SAML 中的 ServiceProvider 角色，也就是提供服务的一方。

AssertingParty 断言方 ) ： SAML 中的 IdentityProvider 角色，用于提供对主题的身份信息

的正确的断言，类似一个公证机构。

我们看看联邦环境的一个场景：

假设有一个 Peter(Subject) 的法国公民，他需要访问比利时 (ServiceProvider) ，他在比利

时机场被要求提供身份信息， Peter 提供了欧盟 (Federation) 的通行证件，随即，这个通行证

件在比利时机场被审核，或通过计算机送到欧盟身份认证中心 (IdentityProvider) ，该中心有

一个由所有欧盟国家共同建立的公民数据库，中心审核了 Peter 的身份信息，并断言 “

Yes

，

HeisPeterFromFrance ” ，于是， Peter 得到礼貌的回应 “ 欢迎光临比利时 ” 。

如果你将欧盟看作是一个联邦环境，你会发现上面的场景跟在联邦环境应用 SAML 很

相似。

在联邦环境下，任何需要授权访问的服务都需要知道服务请求方的身份主题信息

(Whoareyou) ，服务提供方 (ServiceProvider) 不负责审核用户的身份信息，但它依赖于 1 个甚

至多个 IdentityProvider 来完成此任务，见下图。

1 个 IdnetityProvider 可以被多个 ServiceProvider 共享，当然，共享的前提是建立信任关

系 ( 即 ServiceProvider 要信任 IdnetityProvider) ，就好比如，如果比利时 (ServiceProvider) 需要

开放对欧盟国家成员访问，它信任欧盟的 IdnetityProvider ，它信任欧盟的 IdnetityProvide r

的任何判断，包括 ” HeisPeterFromFrance ” 。至于是否让 Peter 入境，那是受权限策略的控制 ( 注

意 SAML 同样对 Authorization 断言做了标准化，此处，我们仅仅关注 Authentication) 。

2 SAML

SAML

的

种典型模式

在协议的角度， SAML 原理非常类似 CAS 和 Kerberos ， CAS 协议依赖于 CAS

Server ， Kerberos 依赖于 KDC ，而 SAML 则依赖于 Identity Provider 。

根据 Service Provider( 以下简称 SP) 和 Identity Provider( 以下简称 IDP) 的交互方

式， SAML 可以分为以下几种模式：一种是 SP 拉方式，一种是 IDP 推方式。

在 SAML 中，最重要的环节是 SP 如何获取对 Subject 的断言， SP 拉方式是 SP 主

动到 IDP 去了解 Subject 的身份断言，而 IDP 推方式则是 IDP 主动把 Subject 的身份断

言通过某种途径告诉 SP 。

2.1 SAML 的 POST/Artifact Bindings 方式（即 SP 拉方式）

该方式的主要特点是， SP 获得客户端的凭证 ( 是 IDP 对 Subject 的一种身份认可 )

之后，主动请求 IDP 对 Subject 的凭证的断言。如下图所示： Subject 是根据凭证去访问

SP 的。凭证代表了 Subject 的身份，它类似于 “ 来自 IDP 证明：我就是 Peter ，法国公民 ” 。

现在，让我们看看 SP 拉方式是如何进行的：

Subject 访问 SP 的受保护资源， SP 发现 Subject 的请求中没有包含任何的授权信

息，于是它重定向用户访问 IDP.

协议执行：

1 ， Subject 向 IDP 请求凭证 ( 方式是提交用户名 / 密码 )

2 ， IDP 通过验证 Subject 提供的信息，来确定是否提供凭证给 Subject

3 ，假如 Subject 的验证信息正确，他将获取 IDP 的凭证以及将服务请求同时提交给

SP 。

4 ， SP 接受到 Subject 的凭证，它是提供服务之前必须验证次凭证，于是，它产生了

一个 SAML 请求，要求 IDP 对凭证断言

5 ，凭证是 IDP 产生的，它当然知道凭证的内容，于是它回应一个 SAML 断言给 SP

6 ， SP 信任 IDP 的 SAML 断言，它会根据断言结果确定是否为 Subject 提供服务。

2.2 SAML 的 Redirect/POST Bindings 方式 ( 即 IDP 推方式 )

该方式的主要特点是， IDP 交给 Subject 的不是凭证，而是断言。

过程如下图所示：

1 ， Subject 访问 SP 的授权服务， SP 重定向 Subject 到 IDP 获取断言。

2 ， IDP 会要求 Subject 提供能够证明它自己身份的手段 (Password ， X.509 证书等 )

3 ， Subject 向 IDP 提供了自己的帐号密码。

4 ， IDP 验证密码之后，会重订向 Subject 到原来的 SP 。

5 ， SP 校验 IDP 的断言 ( 注意， IDP 会对自己的断言签名， SP 信任 IDP 的证书

，

因此，通过校验签名，能够确信从 Subject 过来的断言确实来自 IDP 的断言 ) 。

6 ，如果签名正确， SP 将向 Subject 提供该服务。

SAML2.0

特性分析

IdP 和 SP 错误的有效解决方案

在 Oracle WebLogic 或者任何其他应用服务器中，中间件的错误检测和解决方案，允许

同时为 IdP 和 SP 进行 SAML 安全调试和 / 或直接 “ 跟踪 ” 日志是一个标准测试过程。为 We b

应用浏览器认证使用 SAML 时，另一种工具是 tcpmon 。 tcpmon 是一个在 TCP 连接上监视

数据流动的开源工具，在客户端和服务器之内与两者之间通过配置来使用。

如果使用 Firefox 为 Live HTTP 头进行单元测试， tcpmon 是一个很好的插件，用来测试

要求的 SAML 身份验证的网站重定向。在 HTTP 协议层，为了调试 SP 和 Idp 如何在验证和

断言处理期间重定向浏览器， Live HTTP 标题是很有用的。

建立伙伴信任关系

如参考文章所言，关键配置要求不只配置一个仅有的私钥。这种处理类型只对开发模式

评论收藏

内容反馈

版权申诉

weixin_42653672

粉丝: 112
资源: 1万+

SAML.rar_Java 8_saml_saml webservice_saml2.0_saml协议

评论0

最新资源

SAML.rar_Java 8_saml_saml webservice_saml2.0_saml协议

评论0

saml-client_java_saml_client_

java-saml-sp

基于SAML 2.0 SSO单点登录

OpenSAML示例代码（java）

devise_saml_authenticatable, 设计 SAML 2.0认证策略.zip

SAML协议交互，实现工程Demo（有注释）

smali2java——直接将smali转换成java

WebService安全篇.rar

CXF协议WebService+Spring客户端和服务端程序，实现了多数据源动态切换

WebService框架CXF开发WebService需要的jar包（解决gbk编码错误问题）

android_ksoap2_cxf_wss4j_authentication

Java单点登录解决方案

redmine_saml-源码.rar

webService demo

cxf的webservice

CXF V3.2.4 实现的WebService调用（带安全认证）

webservice+cxf+wss4j+spring

webservice

webService

webservice sample

ABAP Webservice接口部分

基于分段模型检测的云服务跨域认证协议的形式化分析与验证.pdf

cxf-webservice

单点登录代码整理

WS-Security.pdf

Webservice常识

webservice总结的pencil图

Liberty ID_FF V1.2规范

flex 单点登录，前端后端源码 jar包

ABAP Webservice接口部分-C#项目文件

最新资源