saml全称:Security Assertion Markup Language,中文叫法是安全断言标记语言。首先,它是一种XML格式的语言;然后,它是用来安全地验证身份的。目前SAML有两标准:Saml 1.1和Saml 2.0。
saml常用场景是用来作为单点登录的。如:用户在浏览器登录公司账号后,可直接跳转到腾讯云,不再需要输入腾讯云账号密码。即,saml为安全跳转登录提供了可能。
用户在网站https://authing.cn(或者其它提供idp身份认证的网站)登录后,访问设置好的登录链接 https://cloud.tencent.com/login/forwardIdp/{UIN}/{IDP-Provider-name},可以直接跳转到腾讯云控制台:
直接暴露自己的用户名密码给第三方集成做单点登录是不安全也不现实的。在腾讯云的场景下,无法解决账号泄露乱买东西谁背锅的问题。有了公认的认证方法,账号是谁泄露的一目了然。当然,saml本身出现了问题,概率较小,暂不讨论。
一句话解释流程:用户登录本地账号后,访问腾讯云资源,重定向到身份提供商处验证身份,验证成功后登录腾讯云。具体流程如下:
{
"https://cloud.tencent.com/SAML/Attributes/Role": "qcs::cam::uin/100008888888:roleName/jokeer,qcs::cam::uin/100008888888:saml-provider/Authing",
"https://cloud.tencent.com/SAML/Attributes/RoleSessionName": "Test"
}
根据身份提供商处给的URL,或者Authing最后给的URL,看是否能够跳转登录成功。
AD Windows、ldap均支持SAML2.0,理论上可以解决AD、ldap用户与腾讯云之间的单点登录问题,同时,业界还有很多其他厂商可以做saml联合身份认证,如:salesforce、Azure、onelogin等。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。