15

在阅读了一些文章和参考资料后,我发现它们实际上说明了 SAML 是什么、它包含哪些组件、它是如何工作的。一些不错的链接如下:

但是,我仍然对此感到困惑:为什么说它是安全的?在我看来,简而言之,SAML 只是一种“格式化”的 XML 表示。它是一种在信息高速公路上交换数字的语言或机制。我找不到它是安全的,它只是提供了一种协商或标准的方式来交换信息。我不知道我的理解是否正确。为什么 SAML 包含“安全性”仍然让我感到困惑。

4

3 回答 3

14

我认为您在阅读完之后遗漏的部分是 SAML 如何要求使用 XML DSIG 和 XML ENC 规范来确保消息的完整性和机密性。虽然标准化的消息格式和通用名称标识符使各方之间共享身份信息变得更加容易,但正是这两个安全组件(如果实施得当)让企业、政府和云服务提供商能够自信地采用 SAML 来交换身份信息。

HTH-伊恩

于 2012-06-28T14:26:38.040 回答
4

为了确保安全,我们可以使用我们的私钥对响应进行数字签名,并与服务提供商共享证书。通过这种方式,它可以提供针对虚假 IdP 和“中间人”攻击 (MITM) 的安全性。

除此之外,始终建议将此事务设置为基于 SSL 的 HTTP。

最后但并非最不重要的一点是,您还可以使用持久/临时假名在 IdP 和 SP 之间交换信息。

于 2012-06-30T13:48:00.457 回答
-4

是的,SAML 是一种基于 XML 的信息交换语言,正如名称安全断言标记语言的含义。为什么 SAML 被称为安全标记语言是因为该语言专门定义用于交换安全和身份相关信息,例如授权信息、身份验证信息等。由于该语言的这种能力,围绕 SAML 定义了许多安全协议和配置文件,例如SSO 配置文件、Web 服务配置文件等。

于 2012-06-28T09:41:36.287 回答