工作了一段时间,接触到不少知识,好久没有进行总结了,总结总结哈。
其中在系统中用到单点登录的需求,此单点登录有些特殊需求,多个系统之间不存在公共的用户信息,而是自己维护自己的用户集,通过认证中心认证ticket的方式实现系统之间的无缝认证。经过查资料,接触到saml(安全断言标记语言)可以实现此需求,做了一个saml与spring security结合使用的demo,下面先对saml进行简单介绍和回顾。
一、背景知识:
SAML即安全断言标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。
SAML(Security Assertion Markup Language)是一个XML框架,也就是一组协议,可以用来传输安全声明。比如,两台远程机器之间要通讯,为了保证安全,我们可以采用加密等措施,也可以采用SAML来传输,传输的数据以XML形式,符合SAML规范,这样我们就可以不要求两台机器采用什么样的系统,只要求能理解SAML规范即可,显然比传统的方式更好。SAML 规范是一组Schema 定义。
可以这么说,在Web Service 领域,schema就是规范,在Java领域,API就是规范。
SAML 作用
SAML 主要包括三个方面:
1.认证申明。表明用户是否已经认证,通常用于单点登录。
2.属性申明。表明 某个Subject 的属性。
3.授权申明。表明 某个资源的权限。
SAML框架
SAML就是客户向服务器发送SAML 请求,然后服务器返回SAML响应。数据的传输以符合SAML规范的XML格式表示。
SAML 可以建立在SOAP上传输,也可以建立在其他协议上传输。
因为SAML的规范由几个部分构成:SAML Assertion,SAML Prototol,SAML binding等
安全
由于SAML在两个拥有共享用户的站点间建立了信任关系,所以安全性是需考虑的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息。SAML依靠一批制定完善的安全标准,包括SSL和X.509,来保护SAML源站点和目标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。为确保参与SAML交互的双方站点都能验证对方的身份,还使用了证书。
二、基于 SAML的SSO
下面简单介绍使用基于SAML的SSO登录到WebApp1的过程(下图源自SAML 的 Google Apps SSO,笔者偷懒,简单做了修改)
此图片说明了以下步骤。
- 用户尝试访问WebApp1。
- WebApp1 生成一个 SAML 身份验证请求。SAML 请求将进行编码并嵌入到SSO 服务的网址中。包含用户尝试访问的 WebApp1 应用程序的编码网址的 RelayState 参数也会嵌入到 SSO 网址中。该 RelayState 参数作为不透明标识符,将直接传回该标识符而不进行任何修改或检查。
- WebApp1将重定向发送到用户的浏览器。重定向网址包含应向SSO 服务提交的编码 SAML 身份验证请求。
- SSO(统一认证中心或叫Identity Provider)解码 SAML 请求,并提取 WebApp1的 ACS(声明客户服务)网址以及用户的目标网址(RelayState 参数)。然后,统一认证中心对用户进行身份验证。统一认证中心可能会要求提供有效登录凭据或检查有效会话 Cookie 以验证用户身份。
- 统一认证中心生成一个 SAML 响应,其中包含经过验证的用户的用户名。按照 SAML 2.0 规范,此响应将使用统一认证中心的 DSA/RSA 公钥和私钥进行数字签名。
- 统一认证中心对 SAML 响应和 RelayState 参数进行编码,并将该信息返回到用户的浏览器。统一认证中心提供了一种机制,以便浏览器可以将该信息转发到 WebApp1 ACS。
- WebApp1使用统一认证中心的公钥验证 SAML 响应。如果成功验证该响应,ACS 则会将用户重定向到目标网址。
- 用户将重定向到目标网址并登录到 WebApp1。
基于SAML的SSO的好处
- 出现大大简化了SSO,提升了安全性
- 跨域不再是问题,不需要域名也可访问
- 不仅方便的实现Webform、Winform的单点登录,而且可以方便的实现java与.net应用的单点登录
相关推荐
SAML文档详细介绍.pdf 比较系统的中文介绍文档。
SAML(Security Assertion Markup Language) 安全断言标记语言 标识化组织OASIS提出的用于安全互操作的标准 版本:1.0,1.1,2.0 主要内容 SAML断言:定义交互的数据格式 SAML协议:定义交互的消息格式 SAML绑定...
详细内容后面会介绍。 接下来第二个概念就是“安全”了。 你能提供一个断言, 别人能不能假冒你提供一个断言从而骗取服务端的信任呢? 另外服务端为什么会信任你给的断言呢? 这就涉及到安全的问题了。为了防止...
介绍了安全声明标记语言(SAML),并在此基础上提出了基于SAML的安全服务系统(SAMLSSS)的功能结构和应用结构,最后给出了SAMLSSS在远程教育系统中的一个应用实例。
论文中介绍了SSO单点登录的相关概念,各种实现方式,及通过SAML标准来实现的具体思路、方法。是网上不可多得的中文介绍材料!
介绍此应用程序提供了一个简单的SAML身份提供程序(IdP),以使用或单一注销配置文件测试SAML 2.0服务提供程序(SP)。 该样本不适用于生产系统!安装全局命令行工具npm install --global saml-idp手动的从此回购的...
介绍此应用为或依赖方(RP)提供了一个简单的测试服务提供商(SP) 支持以下SAML 2.0 WebSSO功能: 认证请求签名(SHA1或SHA256) HTTP-POST或HTTP-重定向绑定身份验证上下文类NameID格式强制验证动态...
介绍了SAML的主要特点,包括声明类型和SAML的标准体系结构,以及SAML在电子政务建设中的应用。针对目前电子政务系统中信任与授权服务是保障信息安全的重要基础设施,结合SAML的标准体系结构,提出了电子政务中基于...
基于SAML的集中式认证授权机制,张和,,集中式认证授权机制是根据业界标准WS-Security和SAML规范而建立的,以便于今后系统扩展和与其它异构系统的集成。本文简要介绍了面向服
介绍 是一种基于XML的标记语言,SAML端点使用的XML解析器可能容易受到。 SAML消息通常使用Base64Url()编码进行传输,并且可能会另外放气(取决于所使用的SAML绑定)。 这使得测试XXE漏洞更加困难,因为在评估SAML...
Spring Security SAML GAE Project 支持在 Google 应用程序引擎中部署 Spring SAML 应用程序。 介绍 默认情况下,Google 应用程序引擎不支持启动新线程和直接使用套接字。 以下类介绍了 GAE 特定 API 的用法,用于...
在本教程中,我们将逐步介绍通过单点登录实现联合身份验证的步骤。 我们将创建一个 MVC ASP .NET 网站和一个通用身份验证网站身份提供程序(也称为安全令牌服务或 STS)。 身份提供者网站将提供登录表单,使用表单...
本文档介绍了如何将Spring-Security-oAuth2项目与Spring-Security-SAML集成在一起。
本文档介绍了如何为使用Spring Security SAML的Java Spring应用程序启用Centrify Identity Service(通过SAML)。 本指南将提供有关如何设置和运行示例Centrify Spring SAML示例的分步说明 要求 Java 1.7+ SDK 玛...
安装放在您的Gemfile中: gem 'libsaml' , require : 'saml'用法下面介绍如何在服务提供商中配置SAML gem。 将私钥存储在: config/ssl/key.pem 将身份提供者的公钥存储在: config/ssl/trust-federate.cert 将身份...
介绍 该项目是在希腊 eIDAS 节点的背景下(并满足其需求)开发的。 它由一个 Java 库组成,该库提供了简化服务提供商 (SP) 与希腊 eIDAS 节点连接的功能。 它为创建 eIDAS SAML 身份验证请求以及解析传入的 eIDAS ...
介绍 generalSSO是用于手动测试对Zendesk的单点登录(SSO)请求的图形界面。 该应用程序不会尝试确保请求正确(对于故障排除,能够构造无效请求至少与构造有效请求一样重要)。 该应用程序支持JWT和SAML身份验证策略...
介绍 该中间件旨在生成有效的SAML协议身份提供者终结点,该终结点使用saml。 这个想法是您将使用另一种机制来首先验证用户。 端点还支持url /FederationMetadata/2007-06/FederationMetadata.xml中的元数据。 登录...
介绍 本指南描述了如何使用Spring Security SAML将对Okta的支持(通过SAML)添加到使用Spring框架的Java应用程序中。 在本指南中,您将学习如何安装和配置 Okta SAML 应用程序 本指南假设您熟悉 Java 软件开发的...
Gimme AWS Creds gimme-aws-creds是一个CLI,它通过SAML利用 IdP通过AWS STS获取临时AWS凭证。 Okta是SAML身份提供商... 使用情况部分将介绍所有这些内容。先决条件 Python 3.6+可选的可以用作gimme-aws-creds所需的