在阅读了一些文章和参考文献后,我发现它们实际上说明了什么是SAML,它包含哪些组件,它是如何工作的。一些好的链接如下:
然而,我仍然对此感到困惑:为什么说这是安全的?在我看来,简而言之,SAML只是一种“格式化”的XML表示。它是一种在信息高层交换数字的语言或机制。我不能发现它是安全的,它只是提供交换信息的谈判或标准方式。我不知道我的理解是否正确。为什么SAML包含“安全性”仍然让我困惑。答案 0 :(得分:14)
我认为在阅读完毕后您缺少的部分是SAML如何使用XML DSIG和XML ENC规范来确保消息的完整性和机密性。虽然标准化的消息格式和通用名称标识符使各方之间的共享身份信息变得更加容易,但正是这两个安全组件(如果正确实施)允许SAML被企业,政府和云服务提供商自信地用于交换身份信息。
HTH - Ian
答案 1 :(得分:4)
为了确保安全,我们可以使用我们的私钥对响应进行数字签名,并与服务提供商共享证书。这样,它可以提供针对假IdP和“中间人”攻击(MITM)的安全性。 / p>
除此之外,始终建议将此事务设置为HTTP over SSL。
最后但并非最不重要的是,您还可以使用持久性/瞬态假名来交换IdP和SP之间的信息。
答案 2 :(得分:-4)
是的,SAML是一种基于XML的语言,用于信息交换,因为安全断言标记语言的名称是指。为什么SAML被称为安全标记语言是因为该语言专门用于交换安全性和身份相关信息,如授权信息,身份验证信息等。由于该语言的这种能力,围绕SAML定义了许多安全协议和配置文件,如SSO配置文件,Web服务配置文件等。