身份与访问
SAML
别称: SAML 2.0, Security Assertion Markup Language
定义
基于 XML 的开放标准,用于在身份提供方与服务提供方之间交换认证与授权断言。
SAML (Security Assertion Markup Language) 定义了可信身份提供方 (IdP) 如何向服务提供方 (SP) 发布带签名的 XML 断言,描述用户身份及属性,从而在不同安全域之间实现 Web 单点登录。最常用的版本 SAML 2.0 支持浏览器重定向和 POST 绑定,SP 在建立会话前会校验签名、受众 (Audience) 及时间条件等。SAML 因其丰富的属性模型和成熟的工具链,在企业 SSO 中仍居主导地位,但它冗长、对移动端与 API 不友好,且容易因配置错误(XML 签名包装攻击、未校验受众)引入漏洞。新集成项目往往更倾向于使用 OpenID Connect。
示例
- 企业 IdP 通过 SAML 断言让员工登录 Salesforce。
- 服务提供方验证由 Microsoft Entra ID 签名的 AuthnResponse。
相关术语
单点登录 (SSO)
一种认证方式,用户在可信的身份提供方完成一次登录后,即可访问多个应用而无需再次输入凭据。
联合身份
一种架构,不同组织或安全域通过共同信任的身份提供方,让用户使用同一份身份跨域访问各种系统。
OpenID Connect (OIDC)
构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
OAuth 2.0
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
身份认证
在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。