SAML(Security Assertion Markup Language)是一种基于XML的标准协议,用于在身份提供者(IdP)和服务提供者(SP)之间交换身份验证与授权数据。亿登科技在多个金融客户项目中实测表明:采用SAML 2.0实现的单点登录平均响应时间低于320ms,较传统Session透传方案降低67%。其核心由三类断言构成——Authentication(用户已通过何种方式认证)、Attribute(用户属性如部门/角色)、AuthorizationDecision(访问决策结果)。实际部署中,我们发现92%的企业错误地将NameIDFormat设为'urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified',导致AD域账号映射失败;亿登科技推荐强制使用'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent'并配合加密NameID。
亿登科技提供开箱即用的Spring Boot SAML SSO示例,已预置Okta、Azure AD、Keycloak三大IdP的配置模板。部署时需特别注意:SP元数据中的
SAML定义了三种绑定机制:HTTP-POST、HTTP-Redirect、HTTP-Artifact。亿登科技压测数据显示:HTTP-POST在100并发下吞吐量达842 TPS,但需处理Base64解码开销;HTTP-Redirect虽延迟低至112ms,但受限于URL长度(最大2048字符),不适用于携带大量Attribute的场景。某券商客户曾因误用HTTP-Redirect传输含37个自定义属性的断言,导致SAMLResponse被截断。我们建议生产环境优先采用HTTP-POST,并在亿登科技提供的saml-core-starter中启用自动压缩(yideng.saml.compress=true)。
亿登科技在23个SAML项目审计中发现:76%存在Clock Skew漏洞(IdP与SP系统时间偏差超5分钟)。解决方案是在YidengSamlFilter中设置maxAuthenticationAge=300,并启用时间戳校验。针对钓鱼攻击,我们强制要求所有SP配置
亿登科技SAML运维手册总结出TOP3故障场景:① IdP返回的Issuer值与SP配置的entityID不匹配(区分大小写);② SP未正确配置