SAML - 安全断言标记语言

安全断言标记语言(SAML)是将用户基于另一个上下文中的会话记录到应用程序的标准。此单点登录(SSO)登录标准在使用用户名/密码登录方面具有显着的优势:

  • 无需键入凭据

  • 无需记住和续订密码

  • 密码没有弱密码

大多数组织已经知道用户的身份,因为它们已登录到其Active Directory域或Intranet。使用此信息将用户登录到其他应用程序(例如基于Web的应用程序)和更优雅的执行方式之一是使用SAML。

Saml如何工作:

SAML SSO通过将用户的身份从一个地方(身份提供商)转移到另一个地方(服务提供商)来工作。这是通过交换数字签名的XML文档来完成的。

请考虑以下方案:将用户登录到充当身份提供程序的系统中。用户想要登录远程应用程序,例如支持或计费应用程序(服务提供商)。以下发生:

  1. 用户使用Intranet上的链接,书签或类似的链接访问远程应用程序以及应用程序加载。

  2. 应用程序标识用户的原点(按应用程序子域,用户IP地址或类似),并将用户重定向到身份提供程序,要求身份验证。这是身份验证请求。

  3. 用户使用具有身份提供者的现有活动浏览器会话,或者通过登录身份提供者建立一个。

  4. 身份提供者以包含用户的用户名或电子邮件地址的XML文档的形式构建身份验证响应,使用X.509证书签名,并将此信息发布到服务提供商。

  5. 已经知道身份提供商并具有证书指纹的服务提供商检索身份验证响应并使用证书指纹验证。

  6. 建立用户的身份,并且用户提供应用访问。

Saml如何工作(图形):

过程:

1

SAML与HR云连接

您(客户)方面所需的信息:

ACS URL:https://corehr.hrcloud.com/authentication/consume

  • 实体ID:https://corehr.hrcloud.com

  • 开始URL:留空

  • 签名回复:未经选中休假

  • 名称ID:基本信息|主邮箱

  • 名称ID格式:未指定

我们(HR云)需要你作为一个客户:

您需要向HR云支持提供公共证书

公共证书示例:

使用Google Saml配置示例:

步骤1:

登录Google Apps管理控制台。

第2步:

单击“应用程序”选项。

第3步:

单击Saml Apps.

第四步:

单击右下角的“+”图标

第5步:

单击“设置我自己的自定义应用程序”链接

第6步:

您将需要有关此屏幕的信息,用于使用HR云配置SAML。

  • 复制Google“SSO URL”并将其粘贴到HR云“登录URL”中

  • 复制Google“实体ID”并将其粘贴到HR云“IDP实体ID”中

  • 下载选项2的链接并保存元数据

  • 点击下一步”

第7步:

您的自定义应用程序的基本信息

  • 输入“HR云”的“应用程序名称”

  • (可选)为您的HR云应用添加图标

  • 点击下一步”

第8步:

输入服务提供商详细信息

  • 点击下一步”

第9步:

点击完成

第10步:

您已将Saml App添加到Google Apps,但您还需要打开您的用户的应用程序:

  • 单击右上角的“编辑服务”

  • 选择“ON每个人”,然后单击“保存”

如果一切顺利,那么您应该在Google Saml应用程序下看到HR云