基於 SAML 的联合身份管理 (FIM) 以支持单点登录 (SSO)

来源：安全断言标记语言 (SAML) V2.0 技术概述
如上图所示：
. 一个用户可以在每个域中拥有一个身份，也可以在多个域之间拥有多个身份。例如，John Doe 在三个系统中注册了三个帐户，如下所示：

在airline.example.com 中的JohnDoe
JDOE在cars.example.co.uk
约翰在hotels.example.ca
. 联合身份是域之间共享的假名，用於隐藏用户的身份。例如，化名azqu3H7和f78q9c0 均 指用户 John Doe。
azqu3H7是airline.example.com 和cars.example.co.uk 之间约定的化名。
f78q9c0 是airline.example.com 和hotels.example.ca 之间约定的化名。
. 依赖方根据 SAML 中表达的断言授权访问请求。
SAML 提供了一种标准方法来呈现跨系统和安全域工作的断言。
SAML 断言是供依赖方或服务提供商做出授权决定的输入。授权可以基於 XACML。
. SSO 依赖於服务提供商 (SP) 对身份提供商 (IdP) 的信任。

OASIS 安全断言标记语言 (SAML) 标准定义了一个基於 XML 的框架，用於在在线业务合作夥伴之间描述和交换安全信息。此安全信息以可移植SAML 断言的形式表示，跨安全网域边界工作的应用程序可以信任这些断言。OASIS SAML 标准定义了用於请求、创建、通信和使用这些 SAML 断言的精确语法和规则。

联合身份（Federated identity）
. 用户通常在与其交互的每个合作夥伴的安全域内拥有单独的本地用户身份。
. 身份联合为这些合作夥伴服务提供了一种方式来商定并建立一个通用的共享名称标识符来引用用户，以便跨组织边界共享有关用户的信息。
. 当合作夥伴就如何引用用户建立了这样的协议时，就称该用户具有联合身份。

单点登录（Single Sign-On）
SAML 通过提供独立於供应商的标准语法和协议来解决多域 SSO (MDSSO) 问题，用於将用户信息从一个 Web 服务器传输到另一个独立於服务器 DNS 域的服务器。
来源：安全断言标记语言 (SAML) V2.0 技术概述

参考
. 安全断言标记语言 (SAML) V2.0 技术概述

资料来源： Wentz Wu QOTD-20200806
My Blog: https://choson.lifenet.com.tw/