SAML2.0密码认证

Question

我知道SAML是如何用于单点登录(SSO)的。也就是说，从SP重定向到IDP，并从SAML响应/断言中获取用户的身份。

我的问题是-SAML2.0规范是否定义了如何将用户名和密码作为SAML请求xml的一部分进行身份验证？请注意，我不是指单点登录，而是要对用户名/密码进行身份验证。

谢谢,

Answer 1

SAML标准支持在<saml:Subject>字段(即身份验证请求)中传递用户标识符。

但是，不支持将密码作为AuthnRequest的一部分传递。IMHO这样做违背了SAML2的原则，因为这要求Idp在身份验证时只使用密码。通常，国内流离失所者可以使用它认为合适的任何手段来确认被拘留者的身份。这可能是一个密码，但也是一个证书或一次垫交换短信。或者别的事情-这取决于国内流离失所者。

也就是说，在<Extensions>中有一个<AuthnRequest>元素，可以用来携带密码。这样做需要谨慎的安全考虑，因为AuthnRequest内容的设计并不是为了保密。如果使用Http重定向绑定，内容将记录在web服务器中，并在浏览器历史记录中可见。如果使用Http POST绑定，则浏览器仍然可以看到密码。我建议使用SOAP或Artifact绑定来确保数据直接从SP传输到Idp。但是，请注意，这些绑定在框架中的支持要少得多。