了解SAML SSO

SAML SSO由身份提供商（Identity Provider ，简称IdP）和服务提供商（Service Provider，简称SP）组成。

• 身份提供商：负责收集、存储用户身份信息，如用户名、密码等，在用户登录时负责认证用户的系统。

• 服务提供商：与IdP建立信任关系，使用IdP提供的用户信息，为用户提供具体服务的系统。

当用户有自己的身份提供商系统，并且想使用运维面对应的功能，可以使用运维面提供的“配置身份提供商”的功能，即运维面作为服务提供商，实现用户使用身份提供商的账号单点登录运维面的目的。

当用户使用运维面作为身份提供商系统，并对接自己的服务提供商系统，可以使用运维面提供的“配置服务提供商”的功能，即运维面作为身份提供商，实现用户使用运维面的账号单点登录其他服务提供商系统的目的。

SAML SSO系统配置完成后，用户成功登录身份提供商，无须重复输入用户名和密码，可以使用SP的“登录链接”直接登录。IdP与SP的SAML SSO对接原理，如图1所示。

图1 IdP与SP的SAML SSO对接原理图

从图中可知，SAML SSO对接的步骤为：

1. 用户在浏览器中打开从SP获取的登录链接，浏览器向SP发起单点登录请求。
2. 浏览器向SP发起携带IdP标识的请求。

3. SP根据IdP标识查询IdP信息，通过浏览器重定向到IdP服务器。

4. IdP返回登录界面到浏览器。

5. 用户输入用户名和密码，发送认证请求。

6. IdP对用户信息进行登录认证，返回认证通过信息给浏览器。

7. 用户完成单点登录，根据权限访问SP。

当SP系统同时还作为IdP或者服务端与其他第三级系统对接，或IdP系统（或CAS SSO服务端）同时还作为SP与其他IdP系统对接时，即当前系统作为中间层与上级系统或下级系统进行SSO对接，这时会形成SSO级联模式。SSO级联的对接原理，如图2所示，用户登录方式如表1。

在SSO级联场景中，运维面支持配置为任意一个层级的系统。

图2 SSO级联原理图

原理图说明：

①配置一级系统和二级系统之间的SSO对接，支持配置一级系统为SAML SSO的IdP，配置二级系统为SAML SSO的SP。具体的配置步骤参见配置SAML SSO。

②配置二级系统和三级系统之间的SSO对接，如果使用SAML SSO对接时，配置二级系统为SAML SSO的IdP，配置三级系统为SAML SSO的SP。具体的配置步骤参见配置SAML SSO。

③配置二级系统和三级系统之间的SSO对接，如果使用CAS SSO对接时，配置二级系统为CAS SSO的服务端，配置三级系统为CAS SSO的客户端。具体的配置步骤参见配置CAS SSO。