5.2.4 SAML协议

作者: 马恒太等著出处:电子工业出版社博文视点　2007-12-20 17:17　砖好评论条　进入论坛

阅读提示：《Web服务安全》第5章详细的介绍了Web服务安全认证和访问控制机制。本文主要介绍的是SAML协议。

5.2.4 SAML协议

SAML协议包括多种类型，它使用简单的请求/应答方式，其处理的基本过程如图5-12所示。
错误！

图5-12 SAML协议处理的基本过程

SAML协议的基本类型如下。

（1）断言查询和请求协议

断言查询和请求协议用来查询已有断言的有效性，或者通过主体或声明类型请求有关的断言。

（2）身份验证（Authentication）请求协议

一个参与者（Participant）可能是一个代理、程序或者其他实体，需要得到一个关于身份验证的声明时，它可以使用身份验证请求协议向身份验证权威发送身份验证请求，在响应中包括了一个或者多个身份验证的声明。在SAML中，支持身份验证请求协议的权威也成为身份提供者（Identity Provider），本协议在SSO中应用非常广泛。

（3）假影解析（Artifact Resolution）协议

假影解析协议提供了一种使用SAML绑定传输SAML消息的机制，在传输过程中只需使用请求和响应引用，而不需要使用其实际值。SAML请求和响应消息都可以通过引用得到。消息的发送者在发送消息的时候并不需要将所有的请求消息都转换为SAML绑定协议所要求的数据，而只需要发送一小段数据，称为“假影”；接收者能够根据假影使用其他绑定协议进行解析，得到原始的消息内容。

（4）名字标识符管理协议

一个身份提供者为一个参与者提供一个名字标识符后可能需要修改这个名字标识符的值或结构，或者不再使用参与者的名字标识符。这时，需要使用名字标识符管理协议通知相关的服务提供者。

服务提供者在需要使用名字标识符时，也可以使用名字标识符管理协议来注册或者更改自己的名字标识符。

（5）单点注销协议

单点注销协议提供了一种在一个地方注销会话，同时终止多个会话的机制。

（6）名字标识符映射协议

当一个实体和一个身份提供者共享一个参与者的标识符时，该实体可以通过这个共享的标识符向身份提供者请求参与者的名字标识符。

下面给出一个SAML请求/响应的例子，通过主体来请求其属性信息。

请求消息如下：

POST /SamlService HTTP/1.1
Host: www.example.com
Content-Type: text/xml
Content-Length: nnn
SOAPAction: http://www.oasis-open.org/committees/security
SOAP-ENV:Envelope
    xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
    SOAP-ENV:Body 
      samlp:attributeQuery xmlns:samlp:= "…"
xmlns:saml="…" xmlns:ds="…" ID="_6c3a4f8b9c2d"  Version="2.0"
IssueInstant="2004-03-27T08:41:00Z"
             …
             saml:Subject
             …
             /saml:Subject
        /samlp:AttributeQuery
    /SOAP-ENV:Body
/SOAP-ENV:Envelope

响应消息如下：

Content-Type: text/xml
Content-Length: nnnn
SOAP-ENV:Envelope
    xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
    SOAP-ENV:Body
        samlp:Response xmlns:samlp="…" xmlns:saml="…" xmlns:ds="…"
ID="_6c3a4f8b9c2d"  Version="2.0" IssueInstant="2004-03-27T08:42:00Z"
            saml:Issuer>https://www.example.com/SAML

【责任编辑：董书 TEL：（010）68476606】

回书目 上一节 下一节

关于 Web SAML 协议服务 Web服务安全的

文章

博文

帖子

· 5.2.3 SAML断言(12/20)

· 5.2.2 SAML概述(12/20)

· 参考文献(12/25)

· 6.4.4 针对Web服务支撑环境的攻击技术(12/25)

· 6.4.3 Web服务攻击技术(12/25)

· WEB站点构建维护

· 全球最大CDN服务商：中国网络攻击量世界第一

· 企业服务器五剑客

· 安装MySQL数据库无法启动服务的解决办法

· 迎接IPv6时代，在我们的爱机上安装IPv6协议栈..

· 【原创网络技术视频】怎么没有 STP（生成树协..

· 100m独享服务器租用◆1G独享服务器机柜租用◆Q..

· 远程服务器未响应连接尝试

· 【100M独享服务器便宜租用】【高性能稳定带宽..

· 台湾服务器特价啦！

专题

我也说两句

叫好

拍砖

中国最大的网络技术网站 ·
技术成就梦想

·假期读书充电

· 第六章　你能帮我吗？..
· Linux笔试面试题选摘测..
· 08年5月软考网管上午真..
· 性能测试从零开始目录
· 08年5月软考网工上午真..
· 上周拒绝服务攻击（DDo..

· 08年5月各大网上书店及..
· 2008年5月24日软考试题..
· 软件设计师专家临考模..
· 上周网络管理员专家自..
· 网络工程师自测获奖名..
· 08年4月各大网上书店及..

排行榜

·假期读书充电 (查看6738次)
·1.2 网络定义 (查看1197次)
·《网管员必读—网络应用》自测.. (查看1090次)
·SQL Server入门到精通技术自测.. (查看1088次)
·历次技术自测获奖网友详细信息 (查看1040次)

·SQL Server入门到精通技术自测试题答案 (8个砖)
·超级网管员——网络应用技术自测试题答案 (6个砖)
·历次技术自测获奖网友详细信息 (4个砖)
·网管员全真面试题自测获奖结果及答案解析 (4个砖)
·免费讲座：搜索引擎营销打造成功网站 (3个砖)

·假期读书充电 (13个好)
·SQL Server入门到精通技术自测试题答案 (4个好)
·Visual C++数字图像处理开发入门与编程实践 (3个好)
·路由器配置自测获奖结果及答案解析 (3个好)
·《游戏开发核心技术-剧本与角色创造》阅读不枯燥 (3个好)

·Ajax+JSP网站开发从入门到精通 (06月)
·ASP.NET Ajax网站开发从入门到精通 (06月)
·非常网管——网络管理从入门到精通 (06月)
·ANT IN ACTION 第2版中文版 (06月)
·欺骗的艺术 (06月)

·ARP协议及欺骗原理
·独家体验：在西三环亲历北京免费无..

· 周末病毒预报：视频宝..
· NAC精要指南:什么是网..
· 布线测试中的常见问题..
· ASP.NET Ajax网站开发..
· 网管员必读：网络链路..
· SQL Server 2008中不推..
· 路由器故障排除实例讲解
· Cisco 认证考试费用全..

· 微软针对XP SP2的远程..
· 山东临沂网通联合公安..
· Cisco考试费用全线涨价..
· 企业无线网络设置10大..
· Windows Server 2003网..
· 上海宣判三起网络知识..
· 微软Sever 2008自带虚..
· 金山信息安全技术公司..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖