概述

SAML 2.0 用来在安全域中交换身份验证（Authentication）数据和 授权（Authorization）数据。SAML 2.0基于 XML协议，使用包含断言（Assertions）的安全令牌在SAML授权方（即身份提供者IdP）和SAML消费方（即服务 提供者SP）之间传递委托人（终端用户）的信息。
SAML 2.0 可以实现基于网络跨域的单点登录(SSO)， 以便于减少向一个用户分发多个身份验证令牌的管理开销。

什么是断言

断言是一个包含了由SAML授权方提供的0到多个声明（statement）的信息包。SAML断言通常围绕一个主题生 成。该主题使用声明。SAML 2.0规范定义了三种断言声明，详细信息如下：

• 身份验证（Authentication）：该断言的主题是在某个时间通过某种方式被认证。
• 属性（Attribute）：该言的主题和某种属性相关联。
• 授权决策（Authorization Decision）：该断言的主题被允许或者被禁止访问某个资源。

断言举例：

<?xml version="1.0" encoding="utf-8"?>

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema‐instance" ID="b07b804c‐7c29‐ea16‐7300‐4f3d6f7928ac" Version="2.0" IssueInstant="2004‐12‐05T09:22:05Z">  
  <saml:Issuer>https://idp.example.org/SAML2</saml:Issuer>  
  <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">...</ds:Signature>  
  <saml:Subject> 
    <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid‐format:transient">3f7b3dcf‐1674‐4ecd‐92c8‐1544f346baf8</saml:NameID>  
    <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> 
      <saml:SubjectConfirmationData InResponseTo="aaf23196‐1773‐2113‐474a‐fe114412ab72" Recipient="https://sp.example.com/SAML2/SSO/POST" NotOnOrAfter="2004‐12‐05T09:27:05Z"/> 
    </saml:SubjectConfirmation> 
  </saml:Subject>  
  <saml:Conditions NotBefore="2004‐12‐05T09:17:05Z" NotOnOrAfter="2004‐12‐05T09:27:05Z"> 
    <saml:AudienceRestriction> 
      <saml:Audience>https://sp.example.com/SAML2</saml:Audience> 
    </saml:AudienceRestriction> 
  </saml:Conditions>  
  <saml:AuthnStatement AuthnInstant="2004‐12‐05T09:22:00Z" SessionIndex="b07b804c‐7c29‐ea16‐7300‐4f3d6f7928ac"> 
    <saml:AuthnContext> 
      <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef> 
    </saml:AuthnContext> 
  </saml:AuthnStatement>  
  <saml:AttributeStatement> 
    <saml:Attribute xmlns:x500="urn:oasis:names:tc:SAML:2.0:profiles:attribute:X500" x500:Encoding="LDAP" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname‐format:uri" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.1" FriendlyName="eduPersonAffiliation">  
      <saml:AttributeValue xsi:type="xs:string">member</saml:AttributeValue>  
      <saml:AttributeValue xsi:type="xs:string">staff</saml:AttributeValue> 
    </saml:Attribute> 
  </saml:AttributeStatement> 
</saml:Assertion>

它主要是用来实现Web浏览器的单点登录。该断言包括一个身份验证断言 saml:AuthnStatement 和一个属性断言 saml:AttributeStatement ，SP将使用该属性断言实现访问控制。

工作流程

SAML 认证流程一般都会牵涉到两方：服务提供方（SP）和身份提供方（IdP），典型的 SP 有阿里云、腾讯云以及 很多很多的 SaaS 服务；IdP 其实就是我们企业自己，因为用户目录在我们这里。 访问 SP 服务的时候，SP 会向 IdP 发送一个 SAML Request（具体是什么我们暂时不关心），请求 IdP 判断用户身 份。IdP 收到 SAML Request 后，可以通过某种手段对用户身份进行认证，如果已登录，可以直接返回用户身份信 息给 SP；如果未登录，可以弹出一个登录框，用户登录之后再将用户身份返回给 SP。SP 收到用户信息之后，再在 自己的数据库里面找出对应的用户，然后以这个用户的身份访问 SP 服务。

1. 用户通过浏览器访问网站（SP），网站提供服务但是并不负责用户认证。
2. SP 向 IDP 发送了一个 SAML 认证请求，同时 SP将用户浏览器 重定向到 IDP。
3. IDP 在验证完来自 SP 的合法请求，在浏览器中呈现登陆表单让用户填写用户名与密码信息，进行登陆。
4. 用户登陆成功， IDP 会生成一个包含用户信息的 SAMLtoken（SAML token 又称为 SAML Assertion，本质 上是 XML 节点）。IDP 向 SP 返回token，并且将 用户重定向 到 SP。
5. SP 对拿到的 token进行验证，并从中解析出用户信息，例如用户是谁以及用户的权限有哪些。此时可以根据 这些授权信息允许用户访问我们网站的内容。

授权机制

SAML 只是认证协议，自身并不提供授权功能， 可以通过XACML实现授权。
XACML 是可扩展访问控制标记语言，以XML的形式描述策略语言和授权决策请求/响应，提供管理授权决策的语法。
SAML 和 XACML 结合实现权限访问控制，映射关系：

SAML 和 XACML 结合控制应用模型：

该模型是一个完整的访问控制体系结构，包含身份验证和授权两部分。身份验证可 以接受来自其它系统的各种安全 令牌，包括 SAML 断言，对请求主体进行验证并产生 SAML 身份验证断言。只要合作的第三方服务联合信任，就可 以实现 服务的安全交互以及用户 的单点登录。
模型的授权基于 PMI 统一授权管理体系，授权系统向 AA（属性权威机构）请 求关于 Web 服务请求主体的属性信 息，AA 实现 SAML 接口，返回 SAML 属性断言。
模型使用统一的策略语言 XACML，由 SAML 为其提供底层传输机制，适用于各种类型的访问 控制系统。策略可以 被不同的应用使用，使策略的管理更加容易。

应用场景

目前SAML广泛应用于云服务的认证，比如阿里云、AWS和腾讯云等，在云服务上面维护统一的用户信息进行身份 认证。SAML认证一般分为两部分，用户池与角色身份池。
用户池可以让应用程序接入，也可以通过第三方身份提供商 (IdP) ，对用户身份进行认证。
角色身份池可以通过凭证来控制访问云服务资源，比如阿里云推送服务，Amazon S3 和 DynamoDB等。
以AWS的Amazon Cognito为例，简单介绍下它的应用：
通过SAML协议验证用户身份，然后授予用户访问其他 AWS 服务的权限。

1. 在第一步中，您的应用程序用户通过用户池登录，并在成功进行身份验证后收到用户池令牌。
2. 接下来，您的应用程序通过用户池令牌交换 AWS 凭证。
3. 最后，您的应用程序用户可以使用这些 AWS 凭证来访问其他 AWS 服务（如 Amazon S3 或 DynamoDB）。
   

AWS云服务接入方案

用户池进行身份验证

用户使用用户池进行身份验证。应用程序用户可以通过用户池直接登录，也可以通过第三方身份提供商 (IdP) 联合。用户池管理从通过 Facebook、Google、Amazon 和 Apple 进行的社交登录返回的以及从 OpenID Connect (OIDC) 和 SAML IdP 返回的令牌的处理开销。
成功进行身份验证后， Web 或移动应用程序将收到来自 Amazon Cognito 的用户池令牌。可以使用这些令牌 检索允许的应用程序访问其他 AWS 服务的 AWS 凭证，也可以选择使用它们来控制对您的服务器端资源或 Amazon API Gateway 的访问。

用户池访问服务器端资源

用户池登录后，Web 或移动应用程序将收到用户池令牌。可以使用这些令牌控制对服务器端资源的访问。可 以创建用户池组来管理权限以及表示不同类型的用户。

用户池和身份池访问云服务

用户池登录认证成功之后，获取返回的令牌，再通过令牌换取身份池的信息， 拿去身份池信息就可以访问其他的云服务资源。

支持第三方进行身份验证并使用身份池访问云服务

身份池需来自第三方身份提供商，进行身份验证之后， 返回用户的 IdP 令牌。再通过令牌交换获取云服务的 身份池信息，身份池将授予可用来访问其他云服务的临时凭证。

阿里云接入模式

阿里云支持基于SAML 2.0的SSO（Single Sign On，单点登录），也称为身份联合登录。
阿里云提供以下两种基于SAML 2.0协议的SSO方式：
用户SSO：阿里云通过IdP颁发的SAML断言确定企业用户与阿里云RAM用户的对应关系 。企业用户登录后，使用 该RAM用户访问阿里云。 角色SSO：阿里云通过IdP颁发的SAML断言确定企业用户在阿里云上可以使用的RAM角 色。企业用户登录后，使用SAML断言中指定的RAM角色访问阿里云。请参见进行角色SSO。

用户SSO

当管理员在完成用户SSO的相关配置后，可以通过以下流程来实现用户SSO。

1. Alice使用浏览器登录阿里云，阿里云将SAML认证请求返回给浏览器。
2. 浏览器向IdP转发SAML认证请求。
3. IdP提示Alice登录，并在Alice登录成功后生成SAML响应返回给浏览器。
4. 浏览器将SAML响应转发给SSO服务。
5. SSO服务通过SAML互信配置，验证SAML响应的数字签名来判断SAML断言的真伪，并通过SAML断言的 NameID元素值，匹配到对应阿里云账号中的RAM用户身份。
6. SSO服务向浏览器返回控制台的URL。
7. 浏览器重定向到阿里云控制台。

角色SSO

1. 企业员工Alice可登录到阿里云，使用浏览器在IdP的登录页面中选择阿里云作为目标服务。
2. IdP生成一个SAML响应并返回给浏览器。
3. 浏览器重定向到SSO服务页面，并转发SAML响应给SSO服务。
4. SSO服务使用SAML响应向阿里云STS服务请求临时安全凭证，并生成一个可以使用临时安全凭证登录阿里云 控制台的URL。
5. SSO服务将URL返回给浏览器。
6. 浏览器重定向到该URL，以指定角色身份登录到阿里云控制台。