SAML是目前单点登录的流行协议之一。它的具体过程是什么样的呢?本文以故事类比SAML的认证流程。SAML认证流程有很多方式,这里概要介绍最常见的方式。
故事开始
张三开了一家票号(服务提供者,SP)。
李四于吏部任员外郎(身份提供者,IDP)。
票号张三和吏部李四的约定(初始配置,IDP和SP授信过程)
票号张三:“汝之同僚可来吾处无质押贷银。”
吏部李四回曰:“善。若公人贷银,此乃吾之笔迹,留以对之。”
李四将签名(certificate)递与张三,张三亦递签名与李四。
从吏部开始的贷款过程(IDP Initiated Authentication Flow)
王五(user),新官也,致吏部,遇员外郎,曰:“吾欲贷银,于张三票号。”
李四问:“汝何许人也?”
王五呈“告身”(官员委任状)于李四。(identity verification. e.g. username/password)
李四查之,果为官身。遂修书一封:
致:票号张三
此人王五,系我处官身,官居六科给事中,请便宜从事。
落款:吏部员外郎李四
封于火漆信,交与王五:“送去票号张三。”
王五持信,致票号,交与张三。
张三验封缄,对签名,此乃李四亲笔无误。问曰:“汝来何事?”
王五答:“吾欲贷银。”
张三点头:“放银!”
从票号开始的贷款过程(SP Initiated Authentication Flow)
王五于票号问张三:“吾欲贷银。”
张三问:“汝何人?无吏部文书?"
故修书一封:
致:吏部员外郎李四
请查实此人官身。
于:猴年马月狗日猪时第陆仟叁佰捌拾柒
落款:票号张三
封于火漆信封,交与王五:“速与吏部员外郎李四。”
王五交信与吏部李四。
李四验火漆,对落款,无误,问曰:“来者何人?”
王五呈“告身”与李四。
李四查实,果是我处官身,遂修书一封:
致:票号张三
此人王五,系我处官身,官居六科给事中,请便宜从事。
回复:猴年马月狗日猪时第陆仟叁佰捌拾柒
落款:吏部员外郎李四
封于火漆信封,交与王五:“送回。”
王五交信与票号张三。
张三验火漆,对签名,无误。“放银!”
----
作者:王南,VMware China EUC Customer Success Team
本文出自 “VMware终端用户计算” 博客,请务必保留此出处http://vmwareeuc.blog.51cto.com/8606576/1941524
原文地址:http://vmwareeuc.blog.51cto.com/8606576/1941524