什么是 AWS SAML？

• SAML 代表安全断言标记语言。
• 通常，用户需要输入用户名和密码才能登录任何应用程序。
• SAML 是一种实现单点登录 (SSO) 的技术。
• 安全断言标记语言 (SAML) 是一种基于 Xml 的框架，它允许身份提供商向服务提供商提供授权凭证。
• 使用 SAML，您只需要输入一个安全属性即可登录应用程序
• SAML 是用户身份验证和使用服务的授权之间的链接。
• SAML 提供一项名为单点登录的服务，这意味着用户只需登录一次，即可使用相同的凭据登录到另一个服务提供商。

为什么要使用 SAML？

• 使用 SAML，服务提供商和身份提供商都独立存在，但集中了用户管理并提供了对 SaaS 解决方案的访问。
• SAML 身份验证主要用于验证来自身份提供商的用户凭据。

SAML 的优点

• SAML SSO（单点登录）： SAML 通过消除应用程序的密码并将其替换为安全令牌来提供安全性。由于我们不需要任何 SAML 登录的密码，因此不存在凭据被未经授权的用户窃取的风险。 它为云应用程序提供了更快、更轻松和更受信任的访问。
• 开放标准单点登录： SAML 实现符合开放标准。 因此，它不限于单个身份提供商。 此开放标准允许您选择 SAML 提供商。
• 强大的安全性： SAML 使用联合身份和安全令牌，使 SAML 成为基于 Web 的身份验证的最佳安全形式之一。
• 改善最终用户的在线体验： SAML 提供单点登录 (SSO) 以在身份提供商处进行身份验证，身份提供商将身份验证发送到服务提供商，而无需其他凭据。
• 降低服务提供商的管理成本： 多次使用单个身份验证来访问多个服务可以降低维护帐户信息的管理成本。
• 风险转移： SAML 已将处理身份的责任转移给身份提供商。

SAML 提供商的类型

SAML 提供商是系统中的一个实体，可帮助用户访问他或她想要的服务。

SAML 提供商有两种类型

• 服务提供商
• 身份提供商

服务提供商

• 它是系统中的一个实体，向经过身份验证的用户提供服务。
• 服务提供商需要来自身份提供商的身份验证，身份提供商授予用户访问权限。
• Salesforce 和其他 CRM 是常见的服务提供商。

身份提供商

• 身份提供商是系统中的一个实体，它将身份验证发送到服务提供商，内容包括用户的身份以及用户访问权限。
• 它维护用户目录并提供身份验证机制。
• Microsoft Active Directory 和 Azure 是常见的身份提供商。

什么是 SAML 断言？

SAML 断言是一个 XML 文档，身份提供商将其发送给服务提供商，其中包含用户授权。

SAML 断言有三种类型

• 认证
  • 它证明了用户的身份
  • 它提供用户登录的时间。
  • 它还确定使用了哪种身份验证方法。
• 属性
  • 属性断言用于将 SAML 属性传递给服务提供商，其中属性包含有关用户身份验证的数据。
• 授权决定
  • 授权决定确定用户是否有权使用服务，或者身份提供商由于密码失败而拒绝了该请求。

SAML 的工作原理

• 如果用户尝试访问服务器上的资源，服务提供商会检查用户是否已在系统内进行身份验证。 如果已验证，则跳到步骤 7，如果未验证，则服务提供商会启动身份验证过程。
• 服务提供商确定适合您的身份提供商，并将请求重定向到该身份提供商。
• 身份验证请求已发送到 SSO（单点登录）服务，并且 SSO 服务会识别您。
• SSO 服务返回一个 XHTML 文档，其中包含 SAMLResponse 参数中服务提供商所需的真实信息。
• SAMLResponse 参数被传递到服务提供商的断言消费者服务 (ACS)。
• 服务提供商处理该请求并创建一个安全上下文； 您已自动登录。
• 登录后，您可以请求您想要的资源。
• 最后，资源返回给您。