比较SSO协议： WS-Fed, SAML, and OAuth

真实比喻

在我们获得技术之前，让我们用完全非技术性的东西来解决这个问题。作为工程师，我们非常注重将事情分解为组件和流程。这有助于我们了解事情，以便我们可以排除故障或构建复杂的系统。当你去机场登机时，你的登录协议，身份验证协议和令牌类型是什么？这三个组件将成为整个博客的焦点。我将如何定义它们：

• 什么是登录协议（Sign-in protocol）？去了其中一个值机亭，然后打印我的登机牌，然后通过TSA线，然后去登机口，最后登上飞机。我希望我能以这种方式与机场互动并按顺序执行这些动作，否则，我将无法登机。
• 什么是身份验证协议（Authentication protocol）？虽然我的登机牌是其中的一部分，但我必须提供身份证或护照来证明我是谁。
• 什么是令牌类型（Token Type）？我的登机牌是我登机的令牌。

现在，当我们谈论WS-Fed或SAML时，总是问自己同样的问题：什么是登录协议，什么是身份验证协议，什么是令牌类型。无论您是否理解这些概念，询问这些问题都会产生影响。

1 WS-FED

WS-Fed是一种登录协议，用简单的英语表示当你试图获得访问权限的应用程序将你重定向到ADFS服务器时，它必须以特定的方式（WS-Fed）处理。

A 登录协议

典型的请求

https://sts.cloudready.ms/adfs/ls/?wa=wsignin1.0&wtrealm=https%3a%2f%2fclaimsweb.cloudready.ms&wctx=rm%3d0%26id%3dpassive%26ru%3d%252f&wct=2014-10-21T22%3a15%3a42Z

• Wa = signin1.0：这告诉ADFS服务器为用户调用登录。
• Wtrealm：这告诉ADFS我想要的应用程序是什么。这必须与ADFS中列出的其中一个信赖方信任的标识符相匹配。
• Wctx：这是应用程序希望在用户进行身份验证后发送回的一些会话数据。
• wct：这是我尝试访问应用程序的确切时间。

B 身份认证协议

略。。。

C 令牌类型

最后，在输入我的凭据后，ADFS让我发送回原始应用程序的令牌类型是什么：当使用WS-Fed登录协议时，ADFS将始终向您的浏览器发出SAML 1.1令牌然后，您将自动POST回应用程序

2 SAML

SAML是登录协议和令牌类型。关于登录协议，SAML和WS-Fed实现了同样的目的，但处理方式却截然不同。

A 登录协议

示例

https://sts.cloudready.ms/adfs/ls/?SAMLRequest=jZFRT4MwFIX%2FCun7KC3OjWaQ4PbgkqlkoA%2B%2BmAKdNCkt9hZ1%2F14GmkwfFl%2Fv%0APfc7p6cr4K3qWNq7Ru%2FFWy%2FAeZ%2Bt0sDGRYx6q5nhIIFp3gpgrmJ5erdj1A9Y%0AZ40zlVHISwGEddLotdHQt8Lmwr7LSjzudzFqnOuAYQyNLP1Kmb62gtdHvwWc%0AD6PSKOEaH8DgE5ni7CEvkLcZokjNT9AzhIM%2FBF4fACvAyNtuYvRSRSIiZXlN%0AwrlY0CriSxKGhNLDFeXhYjkfZAC92GpwXLsY0YCEM0JnQVQESxaEjCyekZd9%0AP%2BxG6lrq18stlJMI2G1RZLMp%2FJOwMAYfBChZnbpko7E9a%2Fcylv9UipJ%2FFbjC%0AZy6TZcfuB%2Bx2kxklq6OXKmU%2B1sOpEzEiCCfTye%2FfT74A%0A&RelayState=cookie%3A29002348&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1&Signature=M0xoWQfcN3Yp94T2HiqIdJzEkxYqGc6hhopqi8xOI%2B2BtPSLufFDdQIF7z6Xjm6XdLq1MH9Av5xz2QWYs84ZYhlG3fHtZCjjaoI2wZqplRszHla%2BjtZoW20NGDepDsCRT0AKNkhe%2B4Yj3LshrM6EX5O3obx2Mypy8EcsoURkTF3kf1dwKqsGA3ka7ehbRmUQGJUXD0u4iFBog7YgkL4Q9FYMTanZeRo2X4%2FkAeNxT8ormKWJfYnAzg0F4Ku60zDd5N7jYu4XeyOsXDthEFI5H4WYucAprREl2hgSUI21J782kKzrslalIaJ5BKPIO50NPCIb5Sf6Zw4maLpZrFEfrw%3D%3

让我们分解这些参数：

• SAMLRequest：这实际上是一个Base64编码的XML文档。您实际上可以将此值减去SAMLRequest =粘贴到此处以对其进行解码并以纯文本格式查看@https://idp.ssocircle.com/sso/toolbox/samlDecode.jsp
• RelayState：在我针对ADFS进行身份验证后，应用程序希望将其发送回的会话数据。
• SigAlg：使用哪种签名算法对请求进行签名。
• 签名：上述请求的数字签名。

B 身份认证协议

略。。

C 令牌类型

ADFS将始终为使用SAML登录协议配置的应用程序发出SAML 2.0令牌。

3 OAuth

虽然有一些关于OAuth是登录协议或身份验证协议的争论，虽然它确实在不断发展，但在ADFS 2012 R2领域，OAuth是另一种登录协议。

A 登录协议

示例

https://sts.cloudready.ms/adfs/oauth2/authorize?response_type=code&client_id=3fb2a37f-4ced-409c-937c-dddd776f4dfd&redirect_uri=https://www.davetestapp.com&resource=https://www.davetestapp.com

让我们分解这些参数：

• response_type：  告诉我想要执行OAuth并获得授权代码的ADFS服务器。
• client_id：我想要访问的应用程序的ID。
• 资源：我正在尝试访问的应用程序的URL / URI。
• redirect_uri：告诉ADFS将授权代码发回的人

B 身份认证协议

C 令牌类型

原文链接：https://blogs.technet.microsoft.com/askpfeplat/2014/11/02/adfs-deep-dive-comparing-ws-fed-saml-and-oauth/