我的任务是设计一个非常简单的SSO(单点登录)流程.我的雇主已指定应在SAML中实施.我想在确认SAML规范时创建尽可能简单的消息.
我会非常感激,如果你们当中有些人会看我的请求和响应消息,并告诉我,如果他们有意义我的目的,如果他们有任何不需要在那里,如果他们缺少什么,不需要在那里.
另外,我想知道在回复的哪个部分我应该提供有关该主题的其他信息; 特别是主题的电子邮件地址.
交互需要如下工作:
以下是我认为请求应该是:
<?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
ID="abc"
IssueInstant="1970-01-01T00:00:00.000Z"
Version="2.0"
AssertionConsumerServiceURL="http://www.IdentityProvider.com/loginPage">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
http://www.serviceprovider.com
</saml:Issuer>
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">3f7b3dcf-1674-4ecd-92c8-1544f346baf8</saml:NameID>
</saml:Subject>
以下是我认为响应应该是:
<?xml version="1.0" encoding="UTF-8"?>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Destination="http://www.serviceprovider.com/desitnationURL" ID="123" IssueInstant="2008-11-21T17:13:42.872Z" Version="2.0">
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0">
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">3f7b3dcf-1674-4ecd-92c8-1544f346baf8</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser">
<saml:SubjectConfirmationData InResponseTo="abc"/>
</saml:SubjectConfirmation>
</saml:Subject>
<saml:AuthnStatement AuthnInstant="2008-11-21T17:13:42.899Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
</samlp:Response>
所以,我的问题是:
这是一个有效的SAML交互吗?
可以简化请求或响应XML吗?
我应该在回复的哪个位置放置主题的电子邮件地址?
我非常感谢你的帮助.非常感谢!
-摩根
met*_*ddy 12
您在请求中不需要主题 - 查看规范,我认为这可能很简单:
<?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
ID="abc" Version="2.0" IssueInstant="1970-01-01T00:00:00.000Z"
</samlp:AuthnRequest>
省略所有可选元素和属性(Issuer,NameIDPolicy,AssertionConsumerServiceURL等)意味着您的身份提供者和服务提供者已预先同意这些,因此不需要在AuthnRequest中指定它们.如果你控制了两端,并且你绝对知道你永远不会在混合中添加另一个提供者,那么这是一个完全合法的SAML请求.它意味着"通过我们同意的机制验证提供此信息的用户".
看看响应,我认为这是最小的情况:
<?xml version="1.0" encoding="UTF-8"?>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
ID="123" InResponseTo="abc" IssueInstant="2008-11-21T17:13:42.872Z"
Version="2.0">
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0">
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">
user@example.com
</saml:NameID>
</saml:Subject>
<saml:AuthnStatement AuthnInstant="2008-11-21T17:13:42.899Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
</samlp:Response>
您可以将用户的电子邮件地址作为NameID发送,并且AuthnStatement仅承载身份提供商在给定时间由给定机制对用户进行身份验证的事实.再次,这被剥离到骨骼 - 我们省略了属性和元素,如Destination和SubjectConfirmationMethod,因为它们对用例是多余的.
因此,此响应显示"这是user@example.com;他于2008年11月21日17:13:42通过受保护的传输(SSL/TLS)登录密码".
您应该查看SAML 2.0配置文件规范,了解传递这些来回的确切机制.AuthnRequest通常在GET中作为URL参数进行压缩,编码和传递,而返回Response的最简单方法是通过POST绑定 - 返回一个HTML页面,其中包含一个目标是服务提供者的表单,并在页面加载时间通过一些JavaScript.