SAML 2.0

✍ dations ◷ 2025-04-04 23:02:03 #计算机访问控制,联邦身份,身份管理,基于XML的标准,身份管理系统,元数据标准

安全断言标记语言 2.0 (SAML 2.0) 作为 SAML 的最新标准, 用来在安全域中交换身份验证(Authentication)数据和 授权(Authorization)数据。SAML 2.0基于XML协议,使用包含断言(Assertions)的安全令牌在SAML授权方(即身份提供者(英语:Identity_provider),Identity_provider,缩写为IdP)和SAML消费方(即服务提供者,Service Provider,缩写为SP)之间传递委托人(通常是一个终端用户)的信息。SAML 2.0 可以实现基于网络跨域的单点登录(SSO), 以便于减少向一个用户分发多个身份验证令牌的管理开销。

SAML 2.0在2005年三月正式代替SAML 1.1(英语:SAML 1.1)成为OASIS标准。SAML 2.0的关键特征在官方文档SAMLCore, SAMLBind,SAMLProf和SAMLMeta中有详细地记载。

来自超过24个公司及团体的大约30人参与了SAML 2.0的创建。尤其是,自由联盟(英语:Liberty Alliance)将身份联合框架规范(ID-FF)贡献给OASIS,后者成为了SAML 2.0规范的基础。 因此,SAML 2.0实际上是SAML 1.1(英语:SAML 1.1), Liberty ID-FF 1.2 页面存档备份,存于互联网档案馆和Shibboleth 1.3(英语:Shibboleth (Shibboleth Consortium))三种协议的融合。

断言是一个包含了由SAML授权方提供的0到多个声明(statement)的信息包。SAML断言通常围绕一个主题生成。该主题使用<Subject>声明。SAML 2.0规范定义了三种断言声明并且每一种都和一个主题相关。详细信息如下:

一种非常重要的SAML断言类型叫做“Bearer Assertion”。它主要是用来实现Web浏览器的单点登录。下面是一个短期Bearer断言的例子。一个IdP(https://idp.example.org/SAML2)发布了一个短期Bearer断言到一个SP(https://sp.example.com/SAML2)。该断言包括一个身份验证断言<saml:AuthnStatement>和一个属性断言<saml:AttributeStatement>。SP将使用该属性断言实现访问控制。前缀saml:代表SAML 2.0断言的命名空间。

<saml:Assertion   xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"   xmlns:xs="http://www.w3.org/2001/XMLSchema"   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   ID="b07b804c-7c29-ea16-7300-4f3d6f7928ac"   Version="2.0"   IssueInstant="2004-12-05T09:22:05Z">   <saml:Issuer>https://idp.example.org/SAML2</saml:Issuer>   <ds:Signature     xmlns:ds="http://www.w3.org/2000/09/xmldsig#">...</ds:Signature>   <saml:Subject>     <saml:NameID       Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">       3f7b3dcf-1674-4ecd-92c8-1544f346baf8     </saml:NameID>     <saml:SubjectConfirmation       Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">       <saml:SubjectConfirmationData         InResponseTo="aaf23196-1773-2113-474a-fe114412ab72"         Recipient="https://sp.example.com/SAML2/SSO/POST"         NotOnOrAfter="2004-12-05T09:27:05Z"/>     </saml:SubjectConfirmation>   </saml:Subject>   <saml:Conditions     NotBefore="2004-12-05T09:17:05Z"     NotOnOrAfter="2004-12-05T09:27:05Z">     <saml:AudienceRestriction>       <saml:Audience>https://sp.example.com/SAML2</saml:Audience>     </saml:AudienceRestriction>   </saml:Conditions>   <saml:AuthnStatement     AuthnInstant="2004-12-05T09:22:00Z"     SessionIndex="b07b804c-7c29-ea16-7300-4f3d6f7928ac">     <saml:AuthnContext>       <saml:AuthnContextClassRef>         urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport       </saml:AuthnContextClassRef>     </saml:AuthnContext>   </saml:AuthnStatement>   <saml:AttributeStatement>     <saml:Attribute       xmlns:x500="urn:oasis:names:tc:SAML:2.0:profiles:attribute:X500"       x500:Encoding="LDAP"       NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"       Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1"       FriendlyName="eduPersonAffiliation">       <saml:AttributeValue         xsi:type="xs:string">member</saml:AttributeValue>       <saml:AttributeValue         xsi:type="xs:string">staff</saml:AttributeValue>     </saml:Attribute>   </saml:AttributeStatement> </saml:Assertion>

参考文献

一手来源:

相关

  • 于格·卡佩雨果·卡佩(法语:Hugues Capet,941年-996年10月24日),一译于格·卡佩,法兰西国王。巴黎伯爵伟大雨果的儿子。祖父为西法兰克国王罗贝尔一世。956年继承父亲为法兰西公爵。 987年被
  • 卡纳克神庙卡纳克(Karnak)神庙是底比斯最为古老的庙宇,在尼罗河东岸的卢克索镇北4千米处,该神庙经很长时间陆续建造起来,由砖墙隔成三部分。其中中间的部分保存得最完好,也是面积最大的一部
  • 吉朗吉朗(Geelong),又译吉隆、智朗、季隆,位于澳大利亚墨尔本的西南方约75公里,面积1,240km²,人口大约20万,是维多利亚州仅次于墨尔本大都会区的第二大城。吉朗有美丽的海滩,岸边有趣致
  • 町是土地区划的单位之一,原指农地,同属汉字文化圈的日本则衍生出行政区划等语意。“町”在中文指田界、田间小路、田地,在中国亦用于地名,如湖南省衡阳县三湖镇,即出自当地存在上
  • 鄱阳湖鄱阳湖,是中国的一处淡水湖,位于江西省北部、长江南岸,鄱阳湖上承赣、抚、信、饶、修五河之水,下接中国第一大河——长江。鄱阳湖介于北纬28度22分~29度45分,东经115度47分~116度45
  • 奥克-罗曼语支奥克-罗曼语支 (加泰罗尼亚语:llengües occitanoromàniques,奥克语:lengas occitanoromanicas),又称东伊比利亚语支,是位于罗曼语族下西罗曼语支的一个分支,一般指奥克语和加泰罗
  • 大同话大同话指的是通行于山西省大同市境内的方言。语言学分类一般归为晋语大包片,大同话属于雁北方言,因此与官话极为相近。大同话共有24个声母(包括零声母)大同话共有38个韵母
  • 水越伸水越伸(1963年3月6日-) - 是一名日本的社会学家。东京大学大学院情报学环・学际情报学府教授,放送大学客席教授。出生于三重县桑名市,成长于石川县金泽市。1986年毕业于筑波大学
  • 科利·多克托罗科利·多克托罗(Cory Doctorow,1971年7月11日-)生于加拿大多伦多,科幻小说作家和技术激进主义分子。他作品常见的主题有华特迪士尼公司、数字版权管理、文件共享和后稀缺经济。多
  • 伊丽莎白·夏洛特 (普法尔茨公主)伊丽莎白·夏洛特·德·巴伐利亚(法语:Élisabeth-Charlotte de Bavière,1652年5月27日-1722年12月8日),又称伊丽莎白·夏洛特,普法尔茨公主(法语:Elizabeth-Charlotte, Princess Pa