SAML的原理和应用

定义

SAML（Security Assertion Markup Language）【1】，是一个开放标准数据格式，基于XML，用于在当事方之间交换身份验证和授权信数据，尤其是身份提供者（IdP）和服务提供者（SP）之间交换。目前最新的版本为SAML2.0。

场景

SAML解决的最重要的需求是网络浏览器的SSO。单点登录在内部网层面比较常见，例如甲骨文OAM就是基于Jakarta EE JaaS规范实现了domain内的SSO，使用Cookie对Session进行维护。但是将其扩展到内部网之外则一直存在问题。

参与角色

SAML定义了三个角色：委托人（principal通常为一名用户），身份提供者（IdP），服务提供者（SP）。
principal从SP那里请求一项服务，SP请求IdP并从那里获得一个authentication assertion。SP可以基于这个assertion进行存储控制的判断——即决定principal是否有权执行某些服务。
在将assertion发送给SP之前，IdP也可能向principal要求一些信息——例如用户名和密码，以验证principal的身份。

工作流程

saml.png

1. 委托人通过HTTP user agent请求SP上的目标资源

https://sp.example.com/myresource

SP为目标资源执行安全检查，如果在SP上面已经存在了一个合法的安全上下文，跳过2-7。

2. 重定向到IdP上的SSO服务。

SP决定了用户用哪一个IdP，并将user agent重定向到IdP上的SSO服务。

https://idp.example.org/SAML2/SSO/Redirect?SAMLRequest=request

SAMLRequest 参数的值是经过Base64编码的压缩形式的<samlp:AuthnRequest> 元素。

3. 请求IdP上的SSO服务

user agent向步骤2中的URL上的SSO服务发出一个GET请求。这个SSO服务处理 AuthnRequest (通过URL query参数SAMLRequest 发送来的)，执行安全检查。如果用户没有一个有效的安全上下文，IdP就认证这个用户。

4.回复是一个XHTML form

SSO服务通过一个包含XHTML form的文档，确认request和responds是有效的:

  <form method="post" action="https://sp.example.com/SAML2/SSO/POST" ...>
    <input type="hidden" name="SAMLResponse" value="response" />
    ...
    <input type="submit" value="Submit" />
  </form>

SAMLResponse元素的值是经过Base64编码的< samlp:Response> 元素。

5. 请求SP上的Assertion消费服务

user agent向SP上的assertion消费服务发送一个POST。SAMLResponse 参数的值是从步骤4中的XHTML form里面得到的。

6. 重定向到目标资源

assertion消费服务处理response, 在SP上创建一个安全上下文，并将user agent重定向到目标资源。

7. 再次到SP上请求目标资源

user agent再次到SP上请求目标资源。

https://sp.example.com/myresource

8. 将请求的资源返回

此时一个安全上下文已经存在了，SP将资源返回给user agent.

同OAuth2/OIDC比较

解决浏览器单点登录问题的另一个方法是OpenID Connect协议（OAuth2/OIDC）。与OAuth2/OIDC相比，SAML较为简单，但是也有一些不足。首先，SAML将Token放在POST response的body部分，但是移动应用是不能访问HTTP POST response的body部分的。他们只能通过URL去获得Token，但是SAML是XML的形式，意味着URL可能会过长，从而使得移动应用无法读取SAML Token。

【1】SAML