比较SSO协议: WS-Fed, SAML, and OAuth
真实比喻
在我们获得技术之前,让我们用完全非技术性的东西来解决这个问题。作为工程师,我们非常注重将事情分解为组件和流程。这有助于我们了解事情,以便我们可以排除故障或构建复杂的系统。当你去机场登机时,你的登录协议,身份验证协议和令牌类型是什么?这三个组件将成为整个博客的焦点。我将如何定义它们:
- 什么是登录协议(Sign-in protocol)?去了其中一个值机亭,然后打印我的登机牌,然后通过TSA线,然后去登机口,最后登上飞机。我希望我能以这种方式与机场互动并按顺序执行这些动作,否则,我将无法登机。
- 什么是身份验证协议(Authentication protocol)?虽然我的登机牌是其中的一部分,但我必须提供身份证或护照来证明我是谁。
- 什么是令牌类型(Token Type)?我的登机牌是我登机的令牌。
现在,当我们谈论WS-Fed或SAML时,总是问自己同样的问题:什么是登录协议,什么是身份验证协议,什么是令牌类型。无论您是否理解这些概念,询问这些问题都会产生影响。
1 WS-FED
WS-Fed是一种登录协议,用简单的英语表示当你试图获得访问权限的应用程序将你重定向到ADFS服务器时,它必须以特定的方式(WS-Fed)处理。
A 登录协议
典型的请求
- Wa = signin1.0:这告诉ADFS服务器为用户调用登录。
- Wtrealm:这告诉ADFS我想要的应用程序是什么。这必须与ADFS中列出的其中一个信赖方信任的标识符相匹配。
- Wctx:这是应用程序希望在用户进行身份验证后发送回的一些会话数据。
- wct:这是我尝试访问应用程序的确切时间。
B 身份认证协议
略。。。
C 令牌类型
最后,在输入我的凭据后,ADFS让我发送回原始应用程序的令牌类型是什么:当使用WS-Fed登录协议时,ADFS将始终向您的浏览器发出SAML 1.1令牌然后,您将自动POST回应用程序
2 SAML
SAML是登录协议和令牌类型。关于登录协议,SAML和WS-Fed实现了同样的目的,但处理方式却截然不同。
A 登录协议
示例
让我们分解这些参数:
- SAMLRequest:这实际上是一个Base64编码的XML文档。您实际上可以将此值减去SAMLRequest =粘贴到此处以对其进行解码并以纯文本格式查看@ https://idp.ssocircle.com/sso/toolbox/samlDecode.jsp
- RelayState:在我针对ADFS进行身份验证后,应用程序希望将其发送回的会话数据。
- SigAlg:使用哪种签名算法对请求进行签名。
- 签名:上述请求的数字签名。
B 身份认证协议
略。。
C 令牌类型
ADFS将始终为使用SAML登录协议配置的应用程序发出SAML 2.0令牌。
3 OAuth
虽然有一些关于OAuth是登录协议或身份验证协议的争论,虽然它确实在不断发展,但在ADFS 2012 R2领域,OAuth是另一种登录协议。
A 登录协议
示例
让我们分解这些参数:
- response_type: 告诉我想要执行OAuth并获得授权代码的ADFS服务器。
- client_id:我想要访问的应用程序的ID。
- 资源:我正在尝试访问的应用程序的URL / URI。
- redirect_uri:告诉ADFS将授权代码发回的人
B 身份认证协议
C 令牌类型
原文链接:https://blogs.technet.microsoft.com/askpfeplat/2014/11/02/adfs-deep-dive-comparing-ws-fed-saml-and-oauth/