分布式数据库_免费网络虚拟主机_价格

小七 2019年10月25日 21:23 141 0

分布式数据库_免费网络虚拟主机_价格

主题

SMP3中的SAML支持已经作为一个新特性引入SMP3SP05中。在过去的几个月里，我参与了几个客户项目，我们实施了SAML身份验证。

通过使用SAML，您有很大的灵活性，因为您可以使用任何身份验证方法（只要您的IDP支持），独立于SMP预定义的安全模块。

让我们从SAML的小介绍开始。安全断言标记语言是对客户端进行身份验证的一种已定义的标准方法。身份验证由一个称为"身份提供者"（IdP）的系统执行。这个系统正在为客户端请求的具体资源创建"断言票证"。这些资源服务器被命名为"服务提供者"（SP）。一个断言票证对一个服务提供商始终有效。

当我们现在向服务提供商请求一些资源时，我们必须首先针对IdP进行身份验证。因为服务提供商没有对用户进行身份验证（它"仅"验证来自IdP的断言票证），所以身份验证方法不限于此服务提供商提供的安全机制。

SAP移动平台是您的服务提供商，正在将用户转发给IdP进行身份验证。所有通信始终在客户端和SP之间以及客户端和IdP之间执行，云服务器服务器，因此SMP和IdP之间不需要直接连接。但是客户端（例如移动应用程序）需要访问SMP服务器以及身份提供商。

下图应给出使用SAML作为身份验证提供商时执行的客户端/服务器通信的基本概念。

步骤说明

1）连接到SMP

移动设备正在连接到SMP。无论这是AppCID注册（第一次执行应用程序）还是从后端获取（或更新）数据的请求，

2）重定向到IdP

SMP检查传入请求并搜索有效会话。（SMP会话由cookies X-SMP-sessiond和X-SMP-sessiondsso标识）。因为没有识别会话，所以SMP正在调用关联的安全配置文件。安全配置文件包含SAML2身份验证提供程序。SMP现在正在向移动应用程序发送重定向（到指定的IdP地址）。除了此重定向之外，响应还包含SAMLRequest对象（base64编码）

3）请求IdP进行身份验证

移动应用程序正在遵循重定向，因此联系IdP并提供SAMLRequest。

4）响应AuthRequest

IdP检查是否已经存在有效的安全（IdP）会话。如果是，则客户端不需要再次进行身份验证。如果没有，IdP将要求用户识别和验证自己。

5）识别和验证用户

此步骤取决于IdP上的安全设置。通常，IdP显示用户必须在其中进行身份验证的网页，例如通过提供用户和密码或证书。也可以重复该步骤，例如，如果IdP请求多因素认证。因此，在第一步中，用户必须提供用户和密码，大数据难学吗，在下一步中，通过使用另一个通信信道（如SMS）向用户发送一次性密码（OTP）。

6）用SAMLResponse响应

来自IdP的最终响应包含SAMLResponse对象。此SAMLResponse的一部分包含SAML断言票证，这里还提到了目标服务提供商地址。

7）将SAMLReponse发布到SMP

移动应用程序使用收到的目标url向SMP发送POST请求（to address="https:///SAML2/SSO/POST"）。SMP的断言使用者服务正在侦听此地址的SAML响应。

8）重定向到最初请求的资源

断言使用者服务正在验证SAML响应（检查IdP的信号是否可信），然后将创建一个新的SMP会话并向移动应用发送最后一个重定向。此重定向指向最初请求的资源（从步骤1开始）