NGINX.COM
Web Server Load Balancing with NGINX Plus

安全断言标记语言(SAML) 是最古老、应用最广泛的身份协议之一,便于各方之间安全传输身份信息。SAML 基于 XML 格式,最常用于单点登录(SSO)的上下文中。它为各方之间高效交换身份验证和授权数据提供了一种安全机制,可确保为敏感用户信息提供强大可靠的保护。

 

SAML 提供方

SAML 提供方是一种支持用户在可信环境中访问服务或资源的系统。

SAML 提供方有两种:

  • 身份验证供应商(IdP)– 对用户进行身份验证,并将授权信息传递给服务提供商。
  • 服务提供商(SP)– 根据来自身份验证供应商(IdP)的身份验证和授权信息,授权用户访问资源。

 

SSO 如何与 SAML 提供方相集成

SSO 通过集中式 SAML 提供方进行身份验证,简化了用户对各种服务的访问。用户只需在 SAML 提供方进行一次身份验证,随后 SAML 提供方就会将用户的身份验证状态安全地传递给参与验证的服务,从而授予用户访问权限,而无需重复登录。

 

SAML 的优势

SAML 拥有一个成熟的生态系统,其中包括丰富的库、工具和文档,可供开发人员和管理员轻松使用。

采用 SAML 的优势包括:

  • 用户体验 – SAML 通过 SSO 和联合身份验证,使用户无需记忆多套凭证,使用单套登录凭证即可访问多个应用和服务。
  • 增强安全防护 – SAML 采用强大的身份验证方法和安全的通信协议。这些增强措施可有效保护敏感数据,并降低身份盗用及其他网络威胁(如中间人攻击)的风险。
  • 标准化协议 – SAML 已被各种平台、服务和应用广泛采用。这种标准化可确保互操作性,并简化了连接不同系统时的集成工作。
  • 降低成本 – SAML 通过细粒度访问控制和集中式身份管理来简化身份验证流程,不仅有助于降低管理成本,而且还能够降低对人工用户管理的依赖。

 

SAML 的替代方案

虽然 SAML 备受欢迎(特别是对于已经拥有成熟 SAML 基础设施或基于 SAML 构建的传统系统的企业而言),但也不乏替代方案。其中两个替代方案是轻量目录访问协议(LDAP)OpenID Connect(OIDC)

LDAP 是一种成熟的协议,旨在维护和访问网络中的目录服务。它主要充当本地环境下的身份验证中心。而 SAML 提供了一种简化的方法,只需一套用户凭证,因此更适合云计算环境,而且更具可扩展性。

OIDC 是一种较新的身份验证选项,可用于替代 SAML。虽然大家普遍认为 OIDC 更加轻量化且更高效,但 SAML 仍被视为更稳定、更具可扩展性的选择。

在考虑使用 OIDC 时,SAML 采用者应斟酌以下几点:

  • 现有基础设施 – 如果您的企业已经拥有成熟的 SAML 基础设施,那么过渡到 OIDC 可能会涉及重大变更和迁移。在这种情况下,继续使用 SAML 可能更具可行性,也更经济高效。
  • 传统系统 – 较之 OIDC,SAML 历史已久,能够更好地支持传统应用和系统。如果您的旧应用支持 SAML 但不支持 OIDC,那么选择 SAML 能够帮您简化集成工作。

 

NGINX 如何助一臂之力?

NGINX 深知,现有多种身份验证和授权策略供您选择。在许多情况下,问题不在于具体使用哪种策略,而在于何时使用。

请立即联系我们,了解 SAML 可如何用于您的身份验证和授权策略。您还可以查阅以下资源,了解 NGINX 的 SAML 实现以及使用 SAML 进行安全数据交换的其他方法。

博客

代码库

Tags

No More Tags to display