1. 什么是SAML协议?
SAML是Security Assertion Markup Language的简写,翻译过来叫安全断言标记语言,是一种基于XML的开源标准数据格式,用于在当事方之间交换身份验证和授权数据,尤其是在身份提供者(IDP)和服务提供者(SP)之间交换。SAML协议主要解决的是标准化、跨域、基于Web的单点登录(SSO)问题。SAML协议目前的版本是2.0,已经获得了行业的广泛认可,并被诸多主流厂商所支持,比如说我们经常使用的OKTA和G Suite等。
2. SAML协议的构成
SAML协议主要包含以下四方面内容:
- SAML Assertions 断言:定义交互的数据格式 (XML)
- SAML Protocols 协议:定义交互的消息格式 (XML+processing rules)
- SAML Bindings 绑定:定义如何与常见的通信协议绑定 (HTTP,SOAP)
-
SAML Profile 使用框架:给出对 SAML 断言及协议如何使用的建议 (Protocols+Bindings)
SAML协议的构成
3. SAML协议认证流程
常见的认证流程如下图所示。其中Service Provider为第三方服务,例如Timecard;User Agent为用户的浏览器;Identity Provider为认证服务器,例如OKTA。
用户在浏览器中,试图访问第三方服务(SP)受保护的资源;
-
如果用户没有登录,SP会初始化一个SAML请求(请求的示例参见下图),并请求浏览器使用重定向,将SAML请求转发到认证服务器(IdP),进行单点登录;
SAML认证请求 浏览器接收到SP的SAML认证请求,向认证服务发起认证请求,用户使用IdP的账号密码完成登录;
-
当IdP认证完成之后会返回用户的SAML断言信息(响应的示例参见下图),并请求浏览器通过重定向,将SAML断言结果重定向到SP的消费端点上;
SAML响应 浏览器带上IdP返回的断言结果,请求SP的SAML消费端点,SP会完成SAML的安全校验,获取用户属性等,完成用户在SP上的登录;
如果SAML断言标识用户已经认证通过,会再次请求浏览器重定向,将用户导向步骤1中请求的目标资源;
浏览器向SP请求步骤1中的目标资源;
用户已经登录认证成功,返回用户请求的目标资源。
4. SAML协议的优点
- 支持跨域的SSO登录。
- 提升安全。对于用户而言,无需使用多套账号、密码,降低账号泄露的风险,对企业而言,可以集中管理员工的权限,提升了内部系统的安全;
- 改善用户体验,用户只需要提供一套账号、密码,就可以消费其它SP提供的第三方服务;
- 降低企业的管理成本;
- 支持多种SaaS应用;
- 无需新增代码,SP就能支持多租户,与多个IdP服务集成。
5. SAML协议的不足
- 不支持新的认证场景。SAML协议的整个流程依赖于浏览器的重定向,不支持device flow、委托授权等用户场景,OIDC可以作为一种成熟的替代解决方案。
6. 相关的工具推荐
- SAML tracer:Chrome的一个插件,用于解析和查看SAML的断言信息,可以让你更懂SAML。
- SAML Tool:在线的SAML工具大全,你值得拥有。
- Python的SAML框架:Python3-SAML、SAML2。
7. 参考代码
- OneLogin的Python3-SAML
