快捷導(dǎo)航

python3如何使用saml2.0協(xié)議接入SSO

更新時間：2024年11月25日 09:12:20 作者：yangjiajia123456

SAML是一種用于在不同系統(tǒng)之間傳輸安全聲明的XML框架,通過IDP和SP之間的重定向訪問,SP向IDP請求用戶身份認(rèn)證,IDP驗(yàn)證用戶身份后返回SAML應(yīng)答,本文以python3和python3-saml庫為例,介紹了如何接入公司SSO系統(tǒng),包括配置和處理登錄和登出請求

python3使用saml2.0協(xié)議接入SSO

SAML（Security Assertion Markup Language）是一個 XML 框架，也就是一組協(xié)議，可以用來傳輸安全聲明。

比如，兩臺遠(yuǎn)程機(jī)器之間要通訊，為了保證安全，我們可以采用加密等措施，也可以采用 SAML 來傳輸，傳輸?shù)臄?shù)據(jù)以 XML 形式，符合 SAML 規(guī)范，這樣我們就可以不要求兩臺機(jī)器采用什么樣的系統(tǒng)，只要求能理解 SAML 規(guī)范即可。

其核心是: IDP和SP通過用戶的瀏覽器的重定向訪問來實(shí)現(xiàn)交換數(shù)據(jù)。

SP向IDP發(fā)出SAML身份認(rèn)證請求消息，來請求IDP鑒別用戶身份；IDP向用戶索要用戶名和口令，并驗(yàn)證其是否正確，如果驗(yàn)證無誤，則向SP返回SAML身份認(rèn)證應(yīng)答，表示該用戶已經(jīng)登錄成功了，此外應(yīng)答中里還包括一些額外的信息，來卻確保應(yīng)答被篡改和偽造。

本人在網(wǎng)上找了一張圖片，感覺比較好的說明了saml2.0的SSO認(rèn)證的過程：

本人是python研發(fā)工程師，所以以python3為例，說明我是如何接入我們公司的SSO的。

本人使用的是python3-saml庫

1.準(zhǔn)備所需要的json數(shù)據(jù)

req = {
        "idp": {
            "entityId": data["sso"]["login-url"],
            "singleSignOnService": {
                "url": data["sso"]["login-url"]
            },
            "singleLogoutService": {
                "url": "{0}?service={1}".format(
                    data["sso"]["logout-url"], url)
            }
        },
        "sp": {
            "entityId": url,
            "singleSignOnService": {
                "url": data["sso"]["login-url"]
            },
            "assertionConsumerService": {
                "url": url
            },
            "singleLogoutService": {
                "url": "{0}?service={1}".format(
                    data["sso"]["logout-url"], url)
            },
            "NameIDFormat": "urn:oasis:names:tc:SAML:2.0:assertion"
        }
    }

將登錄認(rèn)證服務(wù)器的請求地址寫到idp和sp的singleSignOnService，將登錄后跳轉(zhuǎn)的地址寫到sp的entityId和assertionConsumerService，將登出認(rèn)證服務(wù)器的地址和登錄后要跳轉(zhuǎn)的地址寫到sp和idp的singleLogoutService

2.使用python3-saml庫

以django為例演示登錄

def login(request):
    one_login = OneLogin_Saml2_Settings(req)
    login = OneLogin_Saml2_Authn_Request(one_login)
    result = quote(login.get_request())
    return HttpResponseRedirect(result)

之后跳轉(zhuǎn)至SSO的統(tǒng)一登錄界面，然后輸入用戶名和密碼進(jìn)行驗(yàn)證。

校驗(yàn)通過后，登錄認(rèn)證服務(wù)器會發(fā)送POST請求將用戶名等信息通過base64加密的方式傳給你，你解析做處理。

以django為例演示登出

def logout(reqeust):
    one_login = OneLogin_Saml2_Settings(req)
    logout_request = OneLogin_Saml2_Logout_Request(one_login)
    parameters = {'SAMLRequest': logout_request.get_request()}
    uri = logout_url + '?service={}'.format(domain + address)
    logout_url = OneLogin_Saml2_Utils.redirect(uri, parameters, True)
    return HttpResponseRedirect(logout_url)

之后跳回SSO統(tǒng)一登錄界面。