SAML 2.0-Web-Browser-SSO
Mit SAML-Web-Browser-SSO (Single Sign-on) können Webanwendungen die Authentifizierung von Benutzern an einen SAML-Identitätsprovider delegieren, anstatt dafür eine konfigurierte Benutzerregistry zu verwenden.
Security Assertion Markup Language (SAML) ist ein offener OASIS-Standard für die Darstellung und den Austausch von Benutzeridentität, Authentifizierung und Attributinformationen. Eine SAML-Zusicherung ist ein Token im XML-Format, das im Rahmen der Ausführung einer SSO-Anforderung zum Übertragen von Benutzeridentität und Attributinformationen vom Identitätsprovider eines Benutzers an einen anerkannten Service-Provider verwendet wird. Eine SAML-Zusicherung stellt eine anbieterunabhängige Methode für die Übertragung von Informationen zwischen Geschäftspartnern in einem Verband dar. Mit SAML kann ein Unternehmensservice-Provider einen eigenständigen Unternehmensidentitätsprovider kontaktieren, um Benutzer zu authentifizieren, die versuchen, auf sichere Inhalte zuzugreifen.
WebSphere Application Server Liberty unterstützt das SAML-Web-Browser-SSO-Profil mit HTTP-Post-Bindungen und fungiert als SAML-Service-Provider. Ein Webbenutzer authentifiziert sich bei einem SAML-Identitätsprovider, der eine SAML-Zusicherung erzeugt, und der WebSphere-SAML-Service-Provider verwendet die SAML-Zusicherung, um einen Sicherheitskontext für den Webbenutzer zu erstellen.
Der SAML-Web-SSO-Ablauf umfasst drei Akteure: den Endbenutzer, den Identitätsprovider (IdP) und den Service-Provider (SP). Der Benutzer authentifiziert sich immer beim IdP und der SP stützt sich zur Identifikation des Benutzers auf die IdP-Zusicherung.

SAML-Web-Browser-SSO-Szenarien für Liberty

- Der Endbenutzer besucht den SP.
- Der SP leitet den Benutzer an den IdP um.
- Der Endbenutzer authentifiziert sich beim IdP.
- Der IdP sendet die SAML-Antwort und -Zusicherung an den SP.
- Der SP überprüft die SAML-Antwort und berechtigt die Benutzeranforderung.

- Der Benutzeragent greift auf den SAML-IdP zu.
- Der IdP authentifiziert den Benutzer und gibt eine SAML-Zusicherung aus.
- Der IdP leitet den Benutzer mit einer SAML-Antwort an den SP um.
- Der SP überprüft die SAML-Antwort und berechtigt die Benutzeranforderung.

- Der Endbenutzer besucht die OpenID Connect-Relying-Party (RP).
- Die RP leitet den Endbenutzer an den OpenID Connect-Provider (OP) um.
- Der OP (auch SAML-SP) leitet den Endbenutzer an den SAML-IdP um.
- Der Endbenutzer authentifiziert sich beim SAML-IdP.
- Der IdP leitet den Endbenutzer mit einer SAML-Antwort an den OP oder SP um.
- Der OP/SP überprüft die SAML-Antwort und sendet einen Berechtigungscode an die RP.
- Die RP tauscht Code für das id_token (ID-Token) und das access_token (Zugriffstoken) aus.
- Die RP überprüft das id_token und berechtigt den Endbenutzer.