SAML(Security Assertion Markup Language,安全断言标记语言)是被OASIS
(Organization for the Advancement of Structured Information Standards,结构化信息标准促进组织)
批准执行的标准。
SAML是一种基于XML语言用于传输认证及授权信息的框架,可以作为商业合作伙伴之间交换验证和授权信息的实现,尤其是借助Web服务交换的信息。有了SAML,多家公司管理的站点之间就可以实现基于Web的安全兼容,如单点登录。
针对不同目的,SAML提供以下几种不同类型的安全断言:
a、认证断言(Authentication Assertion):表明用户是否已经认证,通常用于单点登录。
b、属性断言(Attribute Assertion):表明某个Sujbect 的属性。
c、决定断言(Decision Assertion):表明描述一个具体授权请求的结果。
d、授权断言(Authorization Assertion):表明某个资源的权限。
SAML利用基本的Web服务标准,如XML、简单对象访问协议(SOAP)和传输层安全(TLS),支持安全交换验证和授权信息。RSA、Netegrity、IBM、Oracle、BEA、Oblix和Jericho等厂商已承诺支持SAML,并正在把这项规范实施到各自的产品中去。
SAML使用SOAP消息里面的标题通过HTTP进行传输,在断言管理方和转发方之间传输安全信息。比如,用户在某一站点登录后,SAML断言会传输用户验证令牌,其中提供了通过验证登录远程站点验证的手段。SAML封包包括验证令牌和用户属性,可以对照用于验证和访问控制的规则引擎进行检验。
值得一提的是,SAML不负责验证,它只负责传输被验证的信息。另外,SAML可使用不同的验证管理机构,比如LDAP、活动目录和RADIUS,允许使用不同的识别方法,如口令、生物检测术、公钥基础设施(PKI)、安全套接层(SSL)和Kerberos等等。随后,作为传输机制,SAML传输用户已通过验证的断言信息。相比之下,SAML既不进行授权,也不传输访问控制信息。
目前SAML的版本是V2.0,2005年8月9日通过正式批准,2005年8月12日开始实行。
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=563204