DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

抗ddos_高防美国vps_超稳定

06-11 DDOS防御

抗ddos_高防美国vps_超稳定

产品与工程2017年10月12日格雷格·西多啤酒饮用者指南什么是SAML,它为什么存在?在理解SAML到底是如何工作时,IT组织中常常存在知识缺口。许多管理员和工程师都熟悉传统的基于网络的身份验证协议,如RADIUS、LDAP和SSH,但是随着组织继续向基于云的供应商和服务过渡,对SAML的依赖将增加。这篇博文旨在揭开SAML的神秘面纱,解释一些最常见的SAML用例背后的机制,并将其与不幸虚构的BaaS(即啤酒即服务)相比较。简单地说,安全断言标记语言(Security Assertion Markup Language,SAML)是一种用于对web应用程序进行身份验证的协议。联合身份是一种常见的做法,cc防御asp代码,相当于在离散的应用程序和组织中存储用户身份。SAML允许这些联合应用程序和组织彼此通信和信任用户。SAML提供了一种通过将用户的浏览器重定向到公司登录页面,然后在该登录页面上成功认证后,通过第三方web应用程序(如Gmail for Business、Office 365、Salesforce、Expensify、Box、Workday等)对用户进行身份验证的方法,将用户的浏览器重定向回被授予访问权限的第三方web应用程序。SAML的关键是浏览器重定向!为了结合类比,如果您认为单点登录(SSO)是"一个密码来管理它们",那么可以将SAML看作是将它们绑定在一起的粘合剂。SAML通常是使基于web的SSO成为可能的底层协议。一家公司维护一个单一的登录页面——在它后面是一个身份存储和各种认证规则——并且可以很容易地配置任何支持SAML的web应用程序,允许他们的用户用一个密码从同一个登录屏幕登录所有的web应用程序。它还有一个安全好处:既不强制用户为他们需要访问的每个web应用维护(并可能重用)密码,也不会将密码暴露给这些web应用程序。行动中的SAML让我们从一个喝啤酒的鲍勃的例子开始,他想在音乐会上买一瓶啤酒。啤酒服务:鲍勃首先走到腕带帐篷,在那里他的身份证被检查,并提供了一个腕带。腕带帐篷是身份提供者;它的目的是验证鲍勃的身份,并确保他符合获得腕带的必要条件。接下来,鲍勃走向啤酒帐篷。啤酒帐篷的家伙看到鲍勃的腕带,递给他一杯啤酒。啤酒帐篷是服务提供商;它提供了鲍勃最终想要访问的东西:啤酒!现在以软件用户Stu为例,他想登录Salesforce。软件即服务:Stu首先导航到公司配置的仪表板,在那里他被要求进行身份验证(用户名+密码+双重因素),然后可以看到他可以访问的所有应用程序。登录过程和仪表板是身份提供者的一部分;其主要目的是验证Stu的身份接下来,Stu单击Salesforce图标并登录到Salesforce。Salesforce是服务提供商;Stu最终希望访问它。这就是SAML在行动!斯图登录了公司的仪表板,并自动访问了公司使用的每个云应用程序,包括Salesforce。当Stu单击Salesforce图标时,他的公司的身份提供者生成了一个SAML断言(一条声明其身份的消息),他的浏览器导航到Salesforce,最后Salesforce验证了SAML断言并授予他访问权限。和SAML在幕后用同样的语言,发生了什么事?让我们从定义一些术语开始:身份提供者(IdP)-执行身份验证的软件工具或服务(通常通过登录页面和/或仪表板显示),检查用户名和密码,验证帐户状态,调用双因素等。这就是腕带帐篷。服务提供商(SP)-用户试图获得访问权限的web应用程序。这是啤酒帐篷。SAML断言-断言用户身份和其他属性的消息,通过HTTP通过浏览器重定向发送。这是腕带本身。第1步解释说:喝啤酒的鲍勃去腕带帐篷,软件用户斯图去公司仪表盘这一步是IdP进行身份验证的地方。对鲍勃来说,身份认证需要检查腕带帐篷,以确保他是他所说的人(他的脸与身份证上的照片相符),并确保他符合要求(他已达到饮酒年龄)。对于软件用户Stu,身份验证需要检查他的用户名和密码,确保他的帐户是活动的,并调用双因素身份验证来确保他确实是他所说的那个人。这是一个很好的解释,最好将IdP看作是SAML身份验证工作流中相对于SP的一个角色。IdP只是SP信任的一个权威。IdP为验证用户所做的具体操作与SP无关。SP只关心其唯一的IdP是否批准用户并发出SAML断言。腕带帐篷在发放腕带之前做了什么来验证饮酒者的身份,ddos防御软件linux,这与啤酒帐篷无关——他们只关心饮酒者是否有腕带。腕带帐篷可以要求每个喝酒的人出示驾照、护照、居住证明,把衣服翻过来,然后做20个俯卧撑。这甚至可能需要他们参观另一个帐篷——也许是项链帐篷——然后带着项链回到腕带帐篷去拿腕带。啤酒帐篷对此一无所知,也不在乎。啤酒帐篷唯一关心的是是否有酒鬼带着腕带来。同样,IdP如何验证用户的身份与SP Salesforce无关。通常,idp请求用户的凭据,但是他们也可以请求证书,调用双因素身份验证,要求用户位于特定的网络上-而且,你猜到了,他们甚至可以将用户重定向到其他地方,让用户通过更多的测试。IdP验证用户身份的操作是由用户的公司配置的,并且可能受IdP解决方案本身的功能的影响(或限制)。将IdP视为一个角色,有助于理解当今市场上的许多产品都履行了IdP的角色。Duo-accessgateway、microsoftaadfs、Okta、OneLogin、Ping、Centrify和Shibboleth都充当IdP的角色。用户成功通过身份验证后,许多IdP产品都会显示一个仪表板,其中包含所有SP的磁贴或图标,供该用户单击并登录。在我们的示例中,Stu单击Salesforce图标,该图标告诉他的IdP为Salesforce生成一个符合Salesforce所有要求的SAML断言:该断言中需要包含哪些属性,以及Stu如何格式化才能成功访问Salesforce。第二步解释说:鲍勃去啤酒帐篷,斯图去销售部此步骤是SP验证SAML断言的地方。对鲍勃来说,验证需要啤酒帐篷检查,以确保他的腕带是合法的,并由他们信任的腕带帐篷发行。对于Stu,验证需要Salesforce检查SAML断言,以确保它来自Salesforce信任的IdP。除了检查SAML断言的真实性和有效性之外,阿里ddos防御价格,Salesforce还查看SAML断言,看看Stu是谁,以及他应该以谁的身份登录Salesforce。通常有多个SP配置到单个IdP。下一次他会去Gmail和Gmail的声明,然后他会去Gmail的仪表板上生成不同的需求。这就像有许多不同的帐篷-一个葡萄酒帐篷,一个白酒帐篷,和我们最喜欢的啤酒帐篷-所有人都信任一个腕带帐篷。腕带帐篷可以根据饮酒者想去的地方为每种酒、酒或啤酒帐篷发放不同的腕带。IdP启动vs SP启动IdP initiated与SP initiated是指身份验证工作流的起始位置。经常有人问这个问题,因为有些服务提供商支持SP initiated登录,而另一些则不支持。IdP启动的登录首先是用户导航到IdP(通常是登录页面或仪表板),然后使用SAML断言转到SP。这就像是先去腕带帐篷,然后收到腕带后再去啤酒帐篷。上面的示例中,用户登录Salesforce并获取啤酒都是IdP启动的。SP启动的登录首先是用户导航到SP,然后通过SAML请求重定向到IdP,然后使用SAML断言重定向回SP。这就像是先去啤酒帐篷,因为你没有腕带被送到腕带帐篷,然后当你有腕带时再回到啤酒帐篷。为什么这很重要,这意味着什么?什么是SAML请求?这很重要,因为这些重定向(转到腕带帐篷,然后返回啤酒帐篷)要求SP发出SAML请求。一个SAML请求说,"这个用户试图登录,但是他们还没有SAML断言。请帮助他们获得SAML声明,然后将他们送回这里。"但是,并非所有SP都可以发出SAML请求,这限制了仅在IdP启动时登录到该SP。(说真的,SPs,如果这是你的话,那就去参加聚会了。)SAML的请求就像有人不戴腕带去啤酒帐篷,cdn高防靠谱吗,啤酒帐篷写下一张纸条说:"这家伙想要啤酒。"给他一个腕带,把他送回去,"把纸条别在他的衬衫上,把他推向腕带帐篷。它使喜欢喝啤酒的人更容易喝,ddos防御2g,这就是为什么我们

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/60454.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8084415访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X