未找到结果

您的搜索操作未匹配到任何结果。

我们建议您尝试以下操作,以帮助您找到所需内容:

  • 检查关键词搜索的拼写。
  • 使用同义词代替键入的关键词,例如,尝试使用“应用”代替“软件”。
  • 请尝试下方显示的热门搜索之一。
  • 重新搜索。
热门问题

Oracle 云免费套餐

免费通过应用自然语言处理来构建、测试和部署应用。

安全断言标记语言 (SAML) 是什么?

理解 SAML

安全断言标记语言 (SAML) 是一种开放联合标准,可允许身份提供商 (IdP) 对用户进行身份验证并将身份验证令牌传递给其他服务提供商 (SP)。SAML 让 SP 无需执行其身份验证即可运行,并通过传递身份来整合内部和外部用户。它允许通过网络(通常是应用或服务)与 SP 共享安全凭证。SAML 支持公有云与其他支持 SAML 的系统以及选定数量的位于本地或不同云中的其他身份管理系统进行安全的跨域通信。借助 SAML,您可以跨支持 SAML 协议和服务的任意两个应用为您的用户启用单点登录 (SSO) 体验,从而允许 SSO 代表一个或多个应用执行多项安全功能。

SAML 与用于编码此信息的 XML 变体语言相关,还可以涵盖构成标准一部分的各种协议消息和配置文件。

SAML 的两个主要安全功能

  • 身份验证:确定用户是其所声称的人
  • 授权:将用户授权传递给应用以访问某些系统或内容

了解 Oracle 如何使用 SAML 来一键式提高安全性。


了解如何在本地部署环境和云端利用 SAML。

SAML 的工作原理是什么?

SAML 致力于在身份提供方与 SP 之间传递用户、登录名和属性的相关信息。每一个用户对 IdP 进行一次身份验证后,便可将其身份验证会话无缝扩展至潜在的众多应用。当用户尝试访问这些服务时,IdP 会将所谓的 SAML 断言传递给 SP。SP 根据身份来请求授权和身份验证。

SAML 示例:

  1. 登录并访问 SSO 身份验证。
  2. 从身份提供方导出元数据并导入。
  3. 身份系统将了解有关 SSO 身份提供方的更多信息,以便于从身份系统导出元数据。
  4. 为您的 SSO 身份提供方团队提供元数据。
  5. 测试和启用 SSO。
  6. 建议用户仅使用其 SSO 凭证登录。

SAML 提供方是谁?

SAML 提供方是一个系统,可帮助用户获取所需服务的访问权限。SAML 在两方(IdP 和 SP)之间传输身份数据。SAML 提供方主要分为两类:

身份提供方 (IdP) — 执行身份验证并将用户的身份和授权级别传递给服务提供商 (SP)。IdP 已对用户进行了身份验证,SP 将根据 IdP 提供的响应允许访问。

服务提供商 (SP) — 信任 IdP 并授权指定用户访问所请求的资源。SP 需要来自 IdP 的身份验证才能为用户授权,由于两个系统共享相同的语言,因此用户只需登录一次。

SAML 断言是什么?

SAML 断言是身份提供方发送给 SP 的包含用户授权状态的 XML 文档。SAML 断言有三种类型,包括身份验证、属性和授权决策。

  • 身份验证断言有助于验证用户的身份并提供用户登录的时间以及所使用的身份验证方法(例如,密码、MFA、Kerbeos 等)
  • 所分配的断言会将 SAML 令牌传递给 SP。假定 SAML 用于标识用户的属性在 IdP 和 SP 目录中是相同的。SAML 属性是提供用户相关信息的特定数据片段
  • 授权决策断言可说明用户是否获得使用服务的授权,或者身份提供方是否因密码失败或缺乏服务权限而拒绝了请求

SAML 和 OAuth 使用场景

SAML 主要用于启用 Web 浏览器单点登录 (SSO)。SSO 的用户体验目标是允许用户进行一次身份验证并获得对单独安全系统的访问权限,而无需重新提交凭证。安全目标是确保在每一个安全边界均满足身份验证要求。

  • 管理云端和本地身份。通过基于云的工作流、简化式用户供应和用户自助服务实现统一的身份和访问管理方法。开放标准集成可减少开销和维护,从而在云端和本地提供简化的用户供应和管理
  • 简化身份任务。减少在多个环境中重复进行用户、角色和组更改的需求。这提供了一个在本地与云服务之间同步身份权限的身份桥梁
  • 零信任策略。使用基于云的服务来实施访问策略,实现单点登录 (SSO)、强密码实施和多因素身份验证 (MFA)。当根据设备、位置或活动将用户访问视为高风险时,自适应身份验证可通过增加登录要求来降低风险
  • 管理消费者数字访问。通过自助用户界面和品牌可定制的登录屏幕来丰富消费者访问体验。灵活的客户访问支持有助于使用 REST API 和基于标准的集成来整合第三方服务和自定义应用

优化用户登录体验

用户体验对于任何应用都极其重要,它应起始于用户的首次交互时刻。第一个活动通常是登录过程。如果此操作比较繁琐或不直观,就会降低使用应用的整体体验。Oracle 身份云服务 (IDCS) 使用云原生身份即服务 (IDaaS) 平台作为外部身份进入 Oracle 云的前门,可跨广泛的云和本地应用及服务来管理用户访问和权限。在此基础上,组织可以启用零信任策略,将用户身份管理建立为新的安全边界。

了解有关 Oracle 身份云服务的更多信息。