AppScan Enterprise 中的 SAML 单点登录

安全断言标记语言 (SAML) 是一种基于 XML 的开放式标准,用于在身份提供者 (IdP) 和服务提供者 (SP 之间传输有关用户身份的数据。在 AppScan Enterprise 环境中,AppScan Enterprise 应用程序充当被配置为第三方 IdP(例如 Okta、PingFederate 和 Microsoft ADFS)的 SP,用于通过单点登录 (SSO) 进行用户断言。SAML-SSO 模型的优点是,当 AppScan Enterprise 充当 SP 时,您还可以在组织内提供其他应用程序作为 SP,您的用户可以使用通用登录凭证登录这些应用程序。实质上,SSO 流程允许您的用户使用单个登录标识和密码无缝登录到同一域中托管的 AppScan Enterprise 应用程序或其他应用程序 (SP) 的多个会话。通过使用与作为 SP 提供的应用程序相关联的 LDAP 或 Active Directory 数据库来实现 SAML-SSO 登录。

SAML-SSO 模型处理三个实体:主体、服务提供者 (SP) 和身份提供者 (IdP),其中:

  • 主体 - 向服务提供者请求服务的用户。
  • 服务提供者 (SP) - 基于 IdP 交换和断言的认证(用户名和密码凭证)协议,向主体(用户)提供登录到请求的应用程序所需的访问权。
  • 身份提供者 (IdP) - 认证服务,它识别并授权请求登录到服务提供者的主体(用户),在本例中为 AppScan Enterprise 应用程序。
注: 单个 IdP 可为托管不同服务提供者的不同应用程序提供 SAML 断言支持。

在 SAML-SSO 模型中,SP 和 IdP 通过交换数字签名的 XML 文档(证书)来建立信任关系,该数字签名的 XML 文档(证书)包含用于认证用户登录会话的用户授权数据。由于 IdP 已受 SP 委托,因此将接收并验证用户断言请求来进行认证,以此审批登录到特定(请求的)应用程序的访问权。此 SSO 登录审批是在用户从 IdP 首次登录到 AppScan Enterprise 应用程序的会话过程中发生的过程,此后,该用户可以在不输入任何用户凭证的情况下登录到 AppScan Enterprise 应用程序或其他应用程序的另一个会话。

SAML 属性文件作为 AppScan Enterprise 安装文件夹中的可配置组件提供。您必须使用服务提供者和身份提供者配置属性来配置 SAML 属性文件。