安全断言标记式语言查看源代码讨论查看历史

安全主张标记语言
图片来自blogspot

安全主张标记语言（Security Assertion Markup Language，简称SAML，发音sam-el^[1]）是一个基于XML的开源标准数据格式，它在当事方之间交换身份验证和授权数据，尤其是在身份提供者和服务提供者之间交换。

介绍

SAML是OASIS安全服务技术委员会的一个产品，始于2001年。其最近的主要更新发布于2005年，但协议的增强仍在通过附加的可选标准稳步增加。

SAML解决的最重要的需求是网页浏览器单一登入（SSO）。单点登录在内部网层面比较常见，（例如使用Cookie），但将其扩展到内部网之外则一直存在问题，并使得不可互操作的专有技术激增。（另一种近日解决浏览器单点登录问题的方法是OpenID Connect（：OpenID Connect）协议）^[2]

原则

SAML规范定义了三个角色：委托人（通常为一名用户）、身份提供者（IdP），服务提供者（SP）。在用SAML解决的使用案例中，委托人从服务提供者那里请求一项服务。服务提供者请求身份提供者并从那里并获得一个身份主张。服务提供者可以基于这一主张进行存取控制的判断——即决定委托人是否有权执行某些服务。

在将身份主张发送给服务提供者之前，身份提供者也可能向委托人要求一些信息——例如用户名和密码，以验证委托人的身份。SAML规范了三方之间的主张，尤其是主张身份消息是由身份提供者传递给服务提供者。在SAML中，一个身份提供者可能提供SAML主张给许多服务提供者。同样的，一个服务提供者可以依赖并信任许多独立的身份提供者的主张。

SAML没有规定身份提供者的身份验证方法；他们大多使用用户名和密码，但也有其他验证方式，包括采用多重要素验证。诸如轻型目录访问协议、RADIUS和Active Directory等目录服务允许用户使用一组用户名和密码登录，这是身份提供者使用身份验证令牌的一个典型来源。Template:What^[3]许多流行的互联网社交网络服务也提供身份验证服务，理论上他们也可以支持SAML交换。

历史

OASIS安全服务技术委员会（SSTC）于2001年1月首次举行会议，提出“定义一个用于交换身份验证和授权的XML框架。”^[4]为完成此目标，下列知识产权在该年的头两个月内向SSTC进行了捐献：

Security Services Markup Language（S2ML），来自Netegrity
AuthXML，来自Securant
XML Trust Assertion Service Specification（X-TASS），来自VeriSign
Information Technology Markup Language（ITML），来自Jamcracker

在这项工作的基础上，OASIS于2002年11月宣布“安全主张标记语言”（SAML）V1.0规范成为一个OASIS标准。^[5]

与此同时，大型企业、非营利及政府组织的联盟Liberty Alliance提出了一个扩展SAML标准的“自由联盟统一联合框架”（ID-FF）。与其前身SAML类似，Liberty ID-FF提出了一个标准化、跨域、基于Web的单点登录框架。此外，Liberty描绘了一个“信任圈”（circle of trust），其中每个参与域被信任将准确记录识别用户的过程、所使用的身份验证类型，以及任何与生成身份验证凭据相关的策略。信任圈中的其他成员可以查验这些策略，以决定是否信任此类信息。

虽然ID-FF开发了Liberty，SSTC已开始小规模升级到SAML规范。这使得SSTC在2003年9月批准了SAML V1.1规范。在同月，Liberty将ID-FF贡献至OASIS，从而为SAML下一版本奠基。2005年3月，SAML V2.0被宣布成为一项OASIS标准。SAML V2.0意味着Liberty ID-FF及其他专有扩展的收敛，以及包括SAML本身的早期版本。大多数SAML实现支持V2.0，并也大多支持V1.1以实现向后兼容。截至2008年1月，SAML V2.0的开发已在政府、高等教育和全球商业企业中普遍存在。^[6]

参考文献

↑ What is SAML? - A Word Definition From the Webopedia Computer Dictionary. Webopedia.com. [2013-09-21].
↑ OpenID versus Single-Sign-On Server. alleged.org.uk. 2007-08-13 [2014-05-23]. （原始内容存档于2014-09-16）.
↑ SAML: The Secret to Centralized Identity Management. InformationWeek.com. 2004-11-23 [2014-05-23].
↑ Template:Cite mailing list
↑ History of SAML. SAMLXML.org. 2007-12-05 [2014-05-22].
↑ Google, NTT and the US GSA Deploy SAML 2.0 for Digital Identity Management. Oracle Journal. 2008-01-29 [2014-05-22]. （原始内容存档于2014-05-22）.

[1] What is SAML? - A Word Definition From the Webopedia Computer Dictionary. Webopedia.com. [2013-09-21].

[2] OpenID versus Single-Sign-On Server. alleged.org.uk. 2007-08-13 [2014-05-23]. （原始内容存档于2014-09-16）.

[3] SAML: The Secret to Centralized Identity Management. InformationWeek.com. 2004-11-23 [2014-05-23].

[4] Template:Cite mailing list

[5] History of SAML. SAMLXML.org. 2007-12-05 [2014-05-22].

[6] Google, NTT and the US GSA Deploy SAML 2.0 for Digital Identity Management. Oracle Journal. 2008-01-29 [2014-05-22]. （原始内容存档于2014-05-22）.

[1]

[2]

[3]

[4]

[5]

[6]