saml

一、什么是 SAML 协议？ SAML 即安全断言标记语言，英文全称是 Security Assertion Markup Language。它是一个基于 XML 的标准，用于在不同的安全域（security domain）之间交换认证和授权数据。在 SAML 标准定义了身份提供者 (identity provider) 和服务提供者 (service provider)，这两者构成了前面所说的不同的安全域。 SAML 是 OASIS 组织安全服务技术委员会(Security Services Technical Committee) 的产品。 SAML（Security Assertion Markup Language）是一个 XML 框架，也就是一组协议，可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可以采用加密等措施，也可以采用 SAML 来传输，传输的数据以 XML 形式，符合 SAML 规范，这样我们就可以不要求两台机器采用什么样的系统，只要求能理解 SAML 规范即可，显然比传统的方式更好。SAML 规范是一组 Schema 定义。 可以这么说，在 Web Service 领域，schema 就是规范，在 Java 领域，API 就是规范。 二、SAML 协议的作用 认证声明：声明用户是否已经认证，通常用于单点登录。 属性声明：声明某个

一、背景知识： SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。 SAML（Security Assertion Markup Language）是一个XML框架，也就是一组协议，可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可以采用加密等措施，也可以采用SAML来传输，传输的数据以XML形式，符合SAML规范，这样我们就可以不要求两台机器采用什么样的系统，只要求能理解SAML规范即可，显然比传统的方式更好。SAML 规范是一组Schema 定义。 可以这么说，在Web Service 领域，schema就是规范，在Java领域，API就是规范。 SAML 作用 SAML 主要包括三个方面： 1.认证申明。表明用户是否已经认证，通常用于单点登录。 2.属性申明。表明 某个Subject 的属性。 3.授权申明。表明

一、背景知识： SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。 SAML（Security Assertion Markup Language）是一个XML框架，也就是一组协议，可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可以采用加密等措施，也可以采用SAML来传输，传输的数据以XML形式，符合SAML规范，这样我们就可以不要求两台机器采用什么样的系统，只要求能理解SAML规范即可，显然比传统的方式更好。SAML 规范是一组Schema 定义。 可以这么说，在Web Service 领域，schema就是规范，在Java领域，API就是规范。 SAML 作用 SAML 主要包括三个方面： 1.认证申明。表明用户是否已经认证，通常用于单点登录。 2.属性申明。表明 某个Subject 的属性。 3.授权申明。表明

http://blog.csdn.net/csethcrm/article/details/20694993 一、背景知识： SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。 SAML（Security Assertion Markup Language）是一个XML框架，也就是一组协议，可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可以采用加密等措施，也 可以采用SAML来传输，传输的数据以XML形式，符合SAML规范，这样我们就可以不要求两台机器采用什么样的系统，只要求能理解SAML规范即可，显 然比传统的方式更好。SAML 规范是一组Schema 定义。 可以这么说，在Web Service 领域，schema就是规范，在Java领域，API就是规范。 SAML 作用 SAML 主要包括三个方面： 1.认证申明

Originated from: http://www.cnblogs.com/perfectdesign/archive/2008/04/10/saml_federation.html and page 4 of VMware-horizon-view-integration-horizon-workspace.pdf 一、背景知识： SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 SAML是OASIS组织安全服务技术委员会(Security Services Technical Committee)的产品。 SAML（Security Assertion Markup Language）是一个XML框架，也就是一组协议，可以用来传输安全声明。比如，两台远程机器之间要通讯，为了保证安全，我们可以采用加密等措施，也可以采用SAML来传输，传输的数据以XML形式，符合SAML规范，这样我们就可以不要求两台机器采用什么样的系统，只要求能理解SAML规范即可

身份认证即服务(IDaaS ：Identity as a Service) ，也被称为身份和访问管理作为一种服务，使用的是一种云计算的基础设施来安全地管理用户身份和访问实施。在其最基本的层面上，IDaaS可以为云端或内部部署的系统实现单点登录(SSO)。但是它远远不止这些，还包括：访问资源的分配和移除、管理和分析等。 根据 Gartner 2016年的报道显示，IDaaS领域的主流厂商包括有：Okta、微软和Centrify，同时OneLogin、Ping Identity、SailPoint、科纬迅软件服务(Covisint)、Salesforce、灯塔安全(Lighthouse Security，隶属于IBM)和易安信(EMC)/RSA也迅速“登场”了。虽然各公司都能提供IDaaS，但是由于其特征集和功能上的差异，使得某种解决方案较之其他的方案更优于适合某个特定的组织。 来自DocuSign的首席信息官 Eric Johnson 认为，**IDaaS的解决方案将成为你用来访问所有重要的业务应用的一种集中化的机制。正确地选择此类解决方案是非常必要的，这是因为任何停机/掉线都将会导致组织的重大业务中断。**因此当你在判定哪一种IDaaS是最适合你的时候，考虑诸如解决方案的集成能力、单点登录(SSO)方面的体验与安全等方面的因素都是很重要的。 如下这十个问题是由IDaaS的客户

本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统

I've implemented my Service Provider and Identify Provider following the SAML Profile for Web SSO using HTTP POST Protocol Binding. However, I am a bit confused as to how the Identity Provider will provide an <AuthnStatement> if the HTTP POST coming from the Service Provider is not tied to a session on the Identity Provider. Could someone enlighten me how one would be able to do this? The other approach I could use is the HTTP Redirect Binding, but that requires User-Agent intervention (i.e., the browser), often using the User-Agent simply as a pass-thru intermediary to faciliate the Request

In SAML metadata file there are several NameID format defined, for example: <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> Can anybody explain what are these used for? What are the differences? mavis Refer to Section 8.3 of this SAML core pdf of oasis SAML specification. SP and IdP usually communicate each other about a subject. That subject should be identified through a NAME-IDentifier , which should be in

My company currently develops a Java web application. A couple of our clients have internal SAML servers (identity providers?) and have requested that we integrate with them. So recently I've been reading up on it and playing around with OpenAM. After about 3 days of this, I have a general understanding of it, but there are still some gaps in my knowledge. My hope is that someone can clear this up for me. So here's how I imagine the workflow of a user logging in. Let's define our customers SAML server as https://their.samlserver.com . So a user comes to our web application for a resource that