python3如何使用saml2.0協(xié)議接入SSO

更新時間：2024年11月25日 09:12:20 作者：yangjiajia123456

SAML是一種用于在不同系統(tǒng)之間傳輸安全聲明的XML框架,通過IDP和SP之間的重定向訪問,SP向IDP請求用戶身份認證,IDP驗證用戶身份后返回SAML應答,本文以python3和python3-saml庫為例,介紹了如何接入公司SSO系統(tǒng),包括配置和處理登錄和登出請求

python3使用saml2.0協(xié)議接入SSO

SAML（Security Assertion Markup Language）是一個 XML 框架，也就是一組協(xié)議，可以用來傳輸安全聲明。

比如，兩臺遠程機器之間要通訊，為了保證安全，我們可以采用加密等措施，也可以采用 SAML 來傳輸，傳輸的數據以 XML 形式，符合 SAML 規(guī)范，這樣我們就可以不要求兩臺機器采用什么樣的系統(tǒng)，只要求能理解 SAML 規(guī)范即可。

其核心是: IDP和SP通過用戶的瀏覽器的重定向訪問來實現(xiàn)交換數據。

SP向IDP發(fā)出SAML身份認證請求消息，來請求IDP鑒別用戶身份；IDP向用戶索要用戶名和口令，并驗證其是否正確，如果驗證無誤，則向SP返回SAML身份認證應答，表示該用戶已經登錄成功了，此外應答中里還包括一些額外的信息，來卻確保應答被篡改和偽造。

本人在網上找了一張圖片，感覺比較好的說明了saml2.0的SSO認證的過程：

本人是python研發(fā)工程師，所以以python3為例，說明我是如何接入我們公司的SSO的。

本人使用的是python3-saml庫

1.準備所需要的json數據

req = {
        "idp": {
            "entityId": data["sso"]["login-url"],
            "singleSignOnService": {
                "url": data["sso"]["login-url"]
            },
            "singleLogoutService": {
                "url": "{0}?service={1}".format(
                    data["sso"]["logout-url"], url)
            }
        },
        "sp": {
            "entityId": url,
            "singleSignOnService": {
                "url": data["sso"]["login-url"]
            },
            "assertionConsumerService": {
                "url": url
            },
            "singleLogoutService": {
                "url": "{0}?service={1}".format(
                    data["sso"]["logout-url"], url)
            },
            "NameIDFormat": "urn:oasis:names:tc:SAML:2.0:assertion"
        }
    }

將登錄認證服務器的請求地址寫到idp和sp的singleSignOnService，將登錄后跳轉的地址寫到sp的entityId和assertionConsumerService，將登出認證服務器的地址和登錄后要跳轉的地址寫到sp和idp的singleLogoutService

2.使用python3-saml庫

以django為例演示登錄

def login(request):
    one_login = OneLogin_Saml2_Settings(req)
    login = OneLogin_Saml2_Authn_Request(one_login)
    result = quote(login.get_request())
    return HttpResponseRedirect(result)

之后跳轉至SSO的統(tǒng)一登錄界面，然后輸入用戶名和密碼進行驗證。

校驗通過后，登錄認證服務器會發(fā)送POST請求將用戶名等信息通過base64加密的方式傳給你，你解析做處理。

以django為例演示登出

def logout(reqeust):
    one_login = OneLogin_Saml2_Settings(req)
    logout_request = OneLogin_Saml2_Logout_Request(one_login)
    parameters = {'SAMLRequest': logout_request.get_request()}
    uri = logout_url + '?service={}'.format(domain + address)
    logout_url = OneLogin_Saml2_Utils.redirect(uri, parameters, True)
    return HttpResponseRedirect(logout_url)

之后跳回SSO統(tǒng)一登錄界面。