分類
CISSP

基於 SAML 的聯合身份管理 (FIM) 以支持單點登錄 (SSO)

https://ithelp.ithome.com.tw/upload/images/20210812/20132160TGnH605U5B.jpg
來源:安全斷言標記語言 (SAML) V2.0 技術概述
如上圖所示:
. 一個用戶可以在每個域中擁有一個身份,也可以在多個域之間擁有多個身份。例如,John Doe 在三個系統中註冊了三個帳戶,如下所示:
. 在airline.example.com 中的JohnDoe
. JDOE在cars.example.co.uk
. 約翰在hotels.example.ca
. 聯合身份是域之間共享的假名,用於隱藏用戶的身份。例如,化名azqu3H7和f78q9c0 均 指用戶 John Doe。
. azqu3H7是airline.example.com 和cars.example.co.uk 之間約定的化名。
. f78q9c0 是airline.example.com 和hotels.example.ca 之間約定的化名。
. 依賴方根據 SAML 中表達的斷言授權訪問請求。
. SAML 提供了一種標準方法來呈現跨系統和安全域工作的斷言。
. SAML 斷言是供依賴方或服務提供商做出授權決定的輸入。授權可以基於 XACML。
. SSO 依賴於服務提供商 (SP) 對身份提供商 (IdP) 的信任。

OASIS 安全斷言標記語言 (SAML) 標准定義了一個基於 XML 的框架,用於在在線業務合作夥伴之間描述和交換安全信息。此安全信息以可移植SAML 斷言的形式表示,跨安全網域邊界工作的應用程序可以信任這些斷言。OASIS SAML 標准定義了用於請求、創建、通信和使用這些 SAML 斷言的精確語法和規則。

聯合身份(Federated identity)
. 用戶通常在與其交互的每個合作夥伴的安全域內擁有單獨的本地用戶身份。
. 身份聯合為這些合作夥伴服務提供了一種方式來商定並建立一個通用的共享名稱標識符來引用用戶,以便跨組織邊界共享有關用戶的信息。
. 當合作夥伴就如何引用用戶建立了這樣的協議時,就稱該用戶具有聯合身份。

單點登錄(Single Sign-On)
SAML 通過提供獨立於供應商的標準語法和協議來解決多域 SSO (MDSSO) 問題,用於將用戶信息從一個 Web 服務器傳輸到另一個獨立於服務器 DNS 域的服務器。
來源:安全斷言標記語言 (SAML) V2.0 技術概述

參考
安全斷言標記語言 (SAML) V2.0 技術概述

資料來源: Wentz Wu QOTD-20200806

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。