SAML 身份验证
安全声明标记语言 (Security Assertion Markup Language, SAML) 是一种基于 XML 的身份验证机制,提供单点登录功能,由 OASIS 安全服务技术委员会定义。
注意
从 NetScaler 12.0 Build 51.x 开始,用作具有多因子 (nFactor) 身份验证的 SAML 服务提供商 (SP) 的 NetScaler 设备现在会预先填充登录页面上的用户名字段。设备作为 SAML 授权请求的一部分发送 NameID 属性,从 NetScaler SAML 身份提供者 (IdP) 检索 NameID 属性值,然后预填充用户名字段。
使用 SAML 身份验证的原因
假设存在一种情况,即服务提供程序 (LargeProvider) 为客户 (BigCompany) 托管多个应用程序。BigCompany 的用户必须无缝访问这些应用程序。在传统的设置中,LargeProvider 需要维护 BigCompany 用户的数据库。这引起了下列每个利益干系人的一些关注:
- LargeProvider 必须确保用户数据的安全。
- BigCompany 必须验证用户的身份并使用户数据保持最新状态,不仅仅是在自己的数据库中,还要在 LargeProvider 维护的用户数据库中。例如,从 BigCompany 数据库中删除的用户也必须从 LargeProvider 数据库中删除。
- 用户必须单独登录每个托管应用程序。
SAML 身份验证机制提供了一种备选方法。下面的部署示意图显示了 SAML 的工作原理(SP 启动的流程)。
传统身份验证机制引起的问题按如下所示进行解决:
- LargeProvider 不必为 BigCompany 用户维护数据库。从身份管理中解放出来,LargeProvider 可以专注于提供更好的服务。
- BigCompany 不担负确保 LargeProvider 用户数据库与自己的用户数据库保持同步的责任。
- 用户可以登录一次,登录到 LargeProvider 上托管的一个应用程序,然后自动登录到托管在该位置的其他应用程序。
NetScaler 设备可以作为 SAML 服务提供商 (SP) 和 SAML 身份提供者 (IdP) 进行部署。通读相关主题,了解必须在 NetScaler 设备上执行的配置。
配置为 SAML 服务提供商的 NetScaler 设备现在可以强制执行受众限制检查。仅当 SAML 答复方是至少一个指定受众的成员时,受众限制条件才会评估为“有效”。
您可以配置 NetScaler 设备将 SAML 断言中的属性解析为组属性。将其解析为组属性会使设备能够将策略绑定到组。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.