关于 SAML/SSO 与 ADLAP 的基础

Source: Dev.to

角色术语

• Principal – 正在尝试登录的用户。
• Identity Provider (IdP) – “真相来源”；掌握用户密码并验证其身份的系统（例如 Okta、Azure AD）。
• Service Provider (SP) – 用户想要使用的应用程序（即你正在构建的应用）。
• Digital Badge (Role) – 分配给用户的角色或属性。

类比

• IdP = 护照局 – 核查你的出生证明和身份证，以证明你就是你本人，然后签发护照。
• Assertion = 护照 – 一份签名文件，声明“我们信任此人是 Maggie Ma”。
• SP = TSA / 登机口 – 不会检查你的出生证明，只会查看护照。如果护照拥有有效的数字签名，你就可以进入。

步骤（工作流）

注意事项

• Metadata 是在任何人登录之前预先设定的（使用手册）。它定义了游戏规则，包括 SSO URL（App → Okta）、ACS URL（Okta → App）、Entity ID 和证书。
• Assertion 是运行时使用的护照。它是一个 XML 文档，包含用户的姓名、电子邮件、时间戳等信息，由 Okta 使用元数据中指定的密钥签名。该 Assertion 会发送到 ACS URL。
• 当应用收到 Assertion 后，会使用元数据中的公钥验证签名。