SAML身份验证可以类比于身份证,作为一种简明展示个人身份的标准化方式。正如我们不需要进行复杂的DNA测试来验证一个人的身份,只需查看其身份证即可。
在计算和网络领域,让不同供应商为不同目的构建的系统与设备协同工作是一个挑战。这种协同被称为“互操作性”,即不同机器能够互相沟通,尽管它们具有不同的技术规格。SAML作为互操作标准,为用户身份在云服务提供商之间的传递提供了一种被广泛接受的方法。
什么是单点登录(SSO)? 单点登录(SSO)允许用户对多个应用程序和服务进行一次性身份验证。使用SSO时,用户只需在一个登录页面进行登录,随后即可访问多个应用程序。用户无需为所使用的每个服务都进行身份验证。为实现这一目标,SSO系统需要与每个外部应用程序进行通信,告知它们用户已登录。正是SAML在这里发挥了关键作用。
SAML如何工作? 一个典型的SSO身份验证流程涉及以下三方:当事人、身份提供者和服务提供商。当事人/主体:通常是试图访问云托管应用程序的人类用户。
身份提供者:身份提供者(IdP)是一种云软件服务,通常通过登录过程存储和确认用户身份。IdP的职责是确认“我认识这个人,这是此人被允许做的事情”。SSO系统可以独立于IdP,但在SAML工作流程中,SSO系统通常充当IdP的代表。
服务提供商:这是用户希望使用的云托管应用程序或服务。例如,云电子邮件平台(如Gmail和Microsoft Office 365)、云存储服务(如Google Drive和AWS S3)以及通信应用程序(如Slack和Skype)。在SSO环境中,用户通常通过SSO登录,而不是直接登录这些服务。
典型的流程可能如下所示:
当事人向服务提供商发出请求。服务提供商接着向身份提供者请求身份验证。身份提供者将SAML断言发送给服务提供商,然后服务提供商将响应发送给当事人。
如果当事人尚未登录,身份提供者可以要求他们登录,然后再发送SAML断言。
什么是 SAML 断言? SAML断言是一种告知服务提供商用户已经登录的消息。它包含了服务提供商确认用户身份所需的所有信息,包括断言的来源、签发时间以及有效断言应满足的条件。SAML断言可以类比于职位候选人的推荐信,推荐信中陈述了推荐者与候选人合作的时间、担任的职位以及他们对候选人的看法。基于这些信息,公司可以决定是否聘用候选人,正如SaaS应用程序或云服务可以基于SAML断言决定是否允许或拒绝用户访问。
什么是 SAML 2.0? SAML 2.0是SAML的现代版本,自2005年起投入使用。SAML 2.0综合了先前使用的多个SAML版本,是当前的标准。 SAML身份验证是否与用户授权相同? SAML是一种用于用户身份验证的技术,而非用户授权。用户授权是身份和访问管理的另一个领域。身份验证涉及确认用户的身份:他们是谁,以及他们的身份是否已通过登录过程确认。
授权则涉及用户的权限:具体来说,就是他们在公司系统中被允许执行的操作。
可以这样理解身份验证和授权之间的区别:假设爱丽丝要参加音乐节。在入口处,她出示门票和另一种身份证明来证实她有权持有该门票。之后,她被允许参加音乐节,完成了身份验证。
然而,仅仅因为爱丽丝位于音乐节场地内,并不意味着她可以随意行动。她可以观看表演,但不能登台表演或进入后台与演员互动,因为她没有获得相应的授权。如果她购买了后台通行证或担任表演者,她将获得更大的授权。
访问管理技术负责用户授权。访问管理平台使用不同的授权标准(如OAuth),而不是SAML。
标签: 区块链
