SAML 2.0檢視原始碼討論檢視歷史
SAML 2.0 |
|---|
|
安全斷言標記語言 2.0 (SAML 2.0) 作為 SAML 的最新標準, 用來在安全域中交換身份驗證(Authentication)數據和 授權(Authorization)數據。[1]
介紹
SAML 2.0基於XML協議,使用包含斷言(Assertions)的安全令牌在SAML授權方(即身份提供者,Identity_provider,縮寫為IdP)和SAML消費方(即服務提供者,Service Provider,縮寫為SP)之間傳遞委託人(通常是一個終端用戶)的信息。SAML 2.0 可以實現基於網絡跨域的單點登錄(SSO), 以便於減少向一個用戶分發多個身份驗證令牌的管理開銷。
SAML 2.0在2005年三月正式代替SAML 1.1成為OASIS標準。SAML 2.0的關鍵特徵在官方文檔SAMLCore, SAMLBind,SAMLProf和SAMLMeta中有詳細地記載。
來自超過24個公司及團體的大約30人參與了SAML 2.0的創建。尤其是,自由聯盟將身份聯合框架規範(ID-FF)貢獻給OASIS,後者成為了SAML 2.0規範的基礎。 因此,SAML 2.0實際上是SAML 1.1, Liberty ID-FF 1.2和Shibboleth (Shibboleth Consortium)三種協議的融合。
SAML 2.0斷言
斷言是一個包含了由SAML授權方提供的0到多個聲明(statement)的信息包。SAML斷言通常圍繞一個主題生成。該主題使用<Subject>聲明。SAML 2.0規範定義了三種斷言聲明並且每一種都和一個主題相關。詳細信息如下:
- 身份驗證(Authentication)斷言:該斷言的主題是在某個時間通過某種方式被認證。
- 屬性(Attribute)斷言:該斷言的主題和某種屬性相關聯。
- 授權決策(Authorization Decision)斷言:該斷言的主題被允許或者被禁止訪問某個資源。
一種非常重要的SAML斷言類型叫做「Bearer Assertion」。它主要是用來實現Web瀏覽器的單點登錄。下面是一個短期Bearer斷言的例子。一個IdP(https://idp.example.org/SAML2)發布了一個短期Bearer斷言到一個SP(https://sp.example.com/SAML2)。該斷言包括一個身份驗證斷言<saml:AuthnStatement>和一個屬性斷言<saml:AttributeStatement>。SP將使用該屬性斷言實現訪問控制。前綴saml:代表SAML 2.0斷言的命名空間。