SAML 2.0密碼驗證

Question

我知道SAML如何用於單點登錄（SSO）。 也就是說，從SP重定向到IDP，並從SAML響應/聲明中獲取用戶的身份。

我的問題是-SAML 2.0規范是否定義了如何將用戶名和密碼作為SAML請求xml的一部分進行身份驗證？ 請注意，我不是在談論單點登錄，而只是想對用戶名/密碼進行身份驗證。

謝謝，

Answer 1

SAML標准支持在<AuthnRequest>的<saml:Subject>字段（即，身份驗證請求）中傳遞用戶標識符。

但是，沒有內置支持將密碼作為AuthnRequest一部分傳遞。 恕我直言，這樣做違反了SAML2的原則，因為它希望Idp僅在身份驗證時使用密碼。 通常，Idp可以使用其認為合適的任何方式來確認受試者的身份。 那可以是密碼，也可以是證書，也可以是一次短信交換。 還是其他問題-由Idp決定。

就是說，在<AuthnRequest>中有一個<Extensions>元素，可用於攜帶密碼。 這樣做需要仔細考慮安全性，因為AuthnRequest內容並非旨在保密。 如果使用Http重定向綁定，則內容將記錄在Web服務器中，並在瀏覽器歷史記錄中可見。 如果使用Http POST綁定，則瀏覽器仍然可以看到密碼。 我建議使用SOAP或Artifact綁定來確保將數據直接從SP傳輸到Idp。 但是請注意，這些綁定在框架中的支持要少得多。