SAML 用於與識別提供者整合
安全性聲明標記語言 (SAML) 是基於 XML 的開放標準,用於驗證和授權。SAML 的其中一個關鍵優點是這啟用單一登入 (SSO),藉此將使用者必須登入雲端應用程式和網站的次數降到最低。
有三個實體參與驗證流程:
-
使用者啟用應用程式或服務的存取權限。
-
識別提供者 (IdP) 是用於使用者驗證的受信任系統,例如 Microsoft Entra ID 或 Okta。
-
服務提供者 (SP) 是使用者想要登入的應用程式或服務,例如 Qlik Cloud。
識別提供者會驗證使用者,並向服務提供者判斷使用者的身分。進行方式是交換數位簽署的 XML 文件,稱為 SAML 判斷。這些判斷包含關於使用者的資訊、其驗證狀態和可能的其他屬性。然後,服務提供者可以對其服務提供使用者存取權限。在識別提供者啟用 SSO 後,使用者就可以存取數個服務提供者網站和應用程式,不必在每個網站登入。
SP 發起和 IdP 發起的 SSO
SAML 支援服務提供者 (SP) 或識別提供者 (IdP) 發起的登入流程。
透過 SP 發起的 SSO,使用者可在服務提供者網站開始,但不必在該網站登入,而是透過識別提供者發起 SSO 驗證。例如,使用者登入 Qlik Cloud (服務提供者) 時,登入會傳輸至識別提供者,這會處理實際 SSO 驗證。
透過 IdP 發起的 SSO,使用者可直接登入識別提供者,並選取應用程式,這會對服務提供者發起 SSO 驗證。
判斷
判斷是基於 XML 的陳述式,以標準化格式包含驗證和授權資訊。這由識別提供者產生並由服務提供者驗證。
與識別提供者整合時,您可能需要設定應用程式,以便安全地交換 SAML 判斷。這涉及設定信任關係、端點 URL 和憑證交換。
宣告
宣告是使用者相關資訊的片段,由識別提供者判斷,並在驗證流程期間傳送至服務提供者。SAML 定義一組標準宣告,包括使用者屬性,例如名稱和電子郵件。您可以根據應用程式的要求修改宣告對應。
中繼資料
在識別提供者 (IdP) 和服務提供者 (SP) 之間交換中繼資料,對於建立信任關係並確保 SAML 通訊協定正常運作十分重要。
IdP 中繼資料
服務提供者設定需要關於識別提供者的中繼資料。在 Qlik Cloud 中,您可以透過 管理主控台 上傳此資訊作為 IdP 中繼資料檔案。
識別提供者中繼資料包括下列詳細資訊:
-
識別提供者的實體 ID。
-
單一登入 (SSO) URL。此為服務提供者將 SAML 驗證請求傳送至識別提供者的端點。此為重新導向使用者以進行驗證的 URL。
-
識別提供者使用的簽署憑證,用來簽署傳送至服務提供者的 SAML 判斷。
SP 中繼資料
若要在識別提供者端進行設定,您需要服務提供者中繼資料。您可以從 Qlik Cloud 中的 管理主控台 取得此資訊。
服務提供者中繼資料包括下列詳細資訊:
-
服務提供者的實體 ID。
-
判斷消費者服務 (ACS) URL。識別提供者可於驗證後在此傳送 SAML 判斷。
-
服務提供者使用的簽署憑證,用來簽署傳送至識別提供者的驗證請求。