应用身份管理服务 ONEACCESS-通过SAML协议单点登录至应用:概述

时间：2024-06-07 09:20:34

概述

SAML即安全断言标记语言（Security Assertion Markup Language），是OASIS安全服务技术委员会的一个产品，是基于XML的开源标准数据格式。SAML可以解决Web端应用系统的单点登录（SSO）需求，在不同的安全域（security domain）之间交换认证和授权数据。

从抽象的角度来看，SAML主要包括：主要术语和授权流程。

主要术语

表1 主要术语
术语	说明
IdP	身份提供商（Identity Provider，简称IdP）。负责收集、存储用户身份信息，如用户名、密码等，在用户登录时负责认证用户的服务。
SP	服务提供商（Service Provider，简称SP）。与IdP建立信任关系，使用IdP提供的用户信息，为用户提供具体的服务。
SSO	单点登录（Single Sign-On，简称SSO）。用户在 OneAccess 系统登录后，就可以通过跳转链接访问已建立互信关系的SP系统。

授权流程
1. 用户通过浏览器访问Web应用系统。
2. Web应用系统生成一个SAML身份验证请求。
3. Web应用系统将重定向网址发送到用户的浏览器，重定向网址包含应向SSO服务提交的编码SAML身份验证请求。
4. IdP对SAML请求进行解码。
5. IdP对用户进行身份验证。认证成功后，IdP生成一个SAML响应并编码返回到用户的浏览器，其中包括经过验证的用户的用户名。
6. 浏览器将SAML响应转发到Web应用系统A CS URL。
7. Web应用系统使用IdP的公钥验证SAML响应，验证成功，ACS则会将用户重定向到目标网址。
8. 用户将重定向到目标网址并登录到 Web 应用系统。