SAML是身份驗證機制嗎？

Question

SAML是身份驗證機制嗎？ ？ 我已經看到很多地方都寫了這本書。

根據我的理解，SAML不是身份驗證機制，而是在服務提供者和身份提供者之間交換身份驗證和授權數據的方式。 ？

服務提供者和身份提供者都必須符合SAML要求或基本了解SAML的參與。

可以通過oAuth，Form等任何方式進行身份驗證，然后進行SAML交換。

最好的祝福，

紹拉夫

Answer 1

實際上，SAML是一種基於Internet標准的技術，可以實現基於Web的單打。

在SAML IdP上進行的實際身份驗證不在規范范圍內。

但是，有時實現者無法准確區分SSO和身份驗證。

Answer 2

SAML技術概述的第1章是2008年發布的文檔，但仍然不錯：

安全聲明標記語言（SAML）標准定義了一個用於在在線業務合作伙伴之間交換安全信息的框架。

...然后是同一文檔的第4章

SAML由構建模塊組件組成，將它們組合在一起時，可以支持許多用例。 這些組件主要允許在具有已建立信任關系的自治組織之間傳輸身份，身份驗證，屬性和授權信息。

Answer 3

SAML（安全性聲明標記語言）是一種身份聯合協議。

（1）傳統上，Web應用程序利用本地數據存儲（例如用於存儲用戶名/密碼憑證的MySQL）來完成登錄身份驗證。

另一方面，如果Web應用程序已與SAML服務提供程序（SP）集成在一起，則該Web應用程序可以利用第三方SAML身份提供程序（IdP）完成登錄身份驗證。

（2）通常，SAML IdP利用身份存儲庫（例如OpenLDAP）為啟用了SAML SP的Web應用程序提供身份驗證。

（3）已與SAML SP集成的Web應用程序將登錄身份驗證外包給SAML IdP。

在不失一般性的前提下，我們假定已使用OpenLDAP配置了SAML IdP。

下面將描述典型的SAMP SP啟動的身份驗證過程。

（I）用戶啟動Web瀏覽器以訪問啟用了SAML SP的Web應用程序。

（II）將用戶重定向到SAML IdP，這將提示用戶名/密碼登錄屏幕。 SAML SP將SAML請求發送到SAML IdP。

（III）用戶提交用戶名/密碼憑證。

（IV）SAML IdP利用OpenLDAP來驗證用戶名/密碼憑證。

（V）如果已成功通過OpenLDAP認證用戶，則該用戶將被重定向回並登錄到Web應用程序。 SAML IdP發送SAML響應令牌，以將用戶身份（例如用戶名）聯合到啟用SAML SP的Web應用程序。

（4） 如何使用Docker容器構建和運行Shibboleth SAML IdP和SP演示了SAML IdP如何利用OpenLDAP提供身份驗證，然后將用戶身份（例如用戶名）聯合到啟用SAML SP的Web應用程序，從而完成Web應用程序的登錄身份驗證。