SAML- 安全断言标记语言

一、概念

安全断言标记语言（SAML）是一种开放标准，用于在各方之间（特别是身份提供商和服务提供商之间）交换身份验证和授权数据。SAML
是一种基于XML的安全断言标记语言（服务提供商用来做出访问控制决策的语句）。SAML 也是：

• 一组基于 XML 的协议消息
• 一组协议消息绑定
• 一组配置文件（利用以上所有内容）

SAML 解决的一个重要用例是Web 浏览器 单点登录(SSO)。单点登录在安全域内相对容易实现（例如，使用cookie ），但跨安全域扩展
SSO 则更加困难，并导致不可互操作的专有技术的激增。SAML Web 浏览器 SSO 配置文件经过指定和标准化以促进互操作性。

SAML 规范定义了三种角色：主体（通常是用户）、身份提供者(IdP) 和服务提供者(SP)。

二、原理

1. 请求 SP 处的目标资源（仅限 SAML 2.0）

主体（通过 HTTP 用户代理）向服务提供者请求目标资源：

https://sp.example.com/myresource

2. 重定向到 IdP 处的 SSO 服务（仅限 SAML 2.0）

服务提供商确定用户的首选身份提供商（通过未指定的方式）并将用户代理重定向到身份提供商处的 SSO 服务：

https://idp.example.org/SAML2/SSO/Redirect?SAMLRequest=request

参数的值SAMLRequest（由上面的占位符表示request）是压缩元素的Base64编码。 samlp:AuthnRequest

3. 在 IdP 处请求 SSO 服务（仅限 SAML 2.0）

用户代理通过步骤 2 中的 URL 向 SSO 服务发出 GET 请求。SSO 服务处理该请求AuthnRequest（通过 URL 查询参数发送SAMLRequest）并执行安全检查。如果用户没有有效的安全上下文，身份提供者将识别该用户（详细信息省略）。

4. 使用 XHTML 表单进行响应

SSO 服务验证请求并使用包含 XHTML 表单的文档进行响应：

    <form method="post" action="https://sp.example.com/SAML2/SSO/POST" ...><input type="hidden" name="SAMLResponse" value="response" />...<input type="submit" value="Submit" /></form>

5. 在SP处请求断言消费者服务

用户代理向服务提供者处的断言消费者服务发出 POST 请求。参数值SAMLResponse取自步骤 4 中的 XHTML 表单。

6.重定向到目标资源

断言消费者服务处理响应，在服务提供者处创建安全上下文并将用户代理重定向到目标资源。

7、再次向SP请求目标资源

用户代理（再次）向服务提供者请求目标资源：

https://sp.example.com/myresource

8. 响应请求的资源

由于存在安全上下文，服务提供者将资源返回给用户代理。