什么是 SAML身份验证

安全断言标记语言(SAML)是一种基于XML的开放标准，用于在身份提供商(IdP)和服务提供商(SP)之间安全交换认证与授权信息。在研究SAML身份验证过程之前，先了解以下几个术语：

• 身份提供商(IdP)：负责验证用户身份，生成包含用户信息的SAML断言(XML文档)，并传递给服务提供商(SP)。
• 服务提供商(SP)：依赖身份提供商(IdP)的认证结果，提供具体服务，如Salesforce、AWS。
• SAML断言：分为身份断言(用户身份验证信息)、属性断言(用户属性如角色)、授权决策断言(访问权限)三类。断言是身份提供商(IdP)向服务提供商(SP)传递用户身份和属性的媒介。
• SAML协议：定义身份提供商(IdP)与服务提供商(SP)之间如何交换SAML断言的规则。常见的协议包括身份验证请求协议(ARP)和单点注销协议(SLP)。
• 绑定：绑定规定传输方式，常见的绑定包括HTTP重定向、HTTP POST和SOAP。

什么是SAML断言

SAML断言是通知 SP 用户已登录的一组消息，它包含 SP 确认用户是他们声称的身份所需的所有信息。这包括有关断言来源、发布时间以及使断言有效的条件的信息。IdP 会生成有关特定用户何时通过身份验证以及通过何种方式进行身份验证的信息。该断言还包含与特定用户关联的属性列表（称为声明）和授权决策，即是授予还是拒绝用户访问特定源。

在SAML中，断言(Assertion)是用来在安全环境中传递认证和授权信息的XML格式文档。SAML断言通常由身份提供商(IdP)发出，并被服务提供商(SP)用来验证用户的身份和授权。

SAML断言的主要组成部分

• Issuer：指出是谁创建了这个断言，通常是身份提供商的标识。