SAML2(Security Assertion Markup Language 2.0)是OASIS组织制定的XML标准协议,专用于跨域身份认证与授权断言交换。与OAuth2.0侧重资源授权不同,SAML2聚焦于身份断言传递,典型场景如企业员工通过ADFS登录Salesforce或Office 365。亿登科技在2022年交付的某省级政务云项目中,采用SAML2实现17个委办局系统的统一身份接入,平均单次登录耗时控制在860ms以内,较传统表单认证提升4.2倍效率。协议包含三类角色:主体(用户)、身份提供者(IdP)和依赖方(SP)。关键流程含AuthnRequest发起、IdP认证后生成Signed SAML Response、SP校验签名并建立会话。需特别注意Clock Skew容忍设置——生产环境建议设为300秒,避免因服务器时间偏差导致Assertion过期拒绝。
亿登科技开源的springboot-saml-sso-example项目已支持Spring Security 6.x,解决旧版适配问题。部署时需重点配置三个Bean:RelyingPartyRegistrationRepository定义SP元数据,OpenSamlAuthenticationProvider处理断言验证,Saml2WebSsoAuthenticationFilter拦截请求。实测发现,当IdP返回的NameID Format为urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress时,必须在SP端显式配置nameIdAttribute="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",否则Spring Security会抛出InvalidNameIdPolicyException。我们建议在application.yml中启用saml2.metadata.signing.enabled=true,强制要求IdP签名元数据,该配置使某金融客户成功拦截3起中间人攻击尝试。
选择SAML2还是OAuth2.0不能简单按新旧判断。亿登科技服务的217个客户中,68%的B2E(企业内部)系统选用SAML2,因其天然兼容Active Directory和LDAP目录服务;而B2C场景中OAuth2.0占比达91%,主因是移动端Token轻量性。技术层面,SAML2使用XML签名保障完整性,但Base64编码使Payload体积比OAuth2.0 JWT大3.7倍(实测12KB vs 3.2KB),这对带宽受限的IoT网关构成挑战。值得注意的是,SAML2的LogoutRequest需双向SSL证书验证,而OAuth2.0的RP-Initiated Logout仅需Bearer Token,运维复杂度差异显著。可参考亿登科技发布的SAML协议深度解析获取完整对比矩阵。
标准SAML2未定义属性映射规范,导致不同IdP返回的用户属性名不一致。亿登科技在v3.2版本中引入动态属性路由引擎,支持正则表达式匹配NameID(如^([a-zA-Z0-9._%+-]+)@company\.com$提取用户名),并将LDAP属性自动转换为SCIM 2.0标准字段。某跨国制造企业实施时,将SAP SuccessFactors的userPrincipalName映射为Azure AD的mailNickname,同步延迟从小时级降至23秒。所有增强功能均通过单点登录平台统一管理,支持实时监控SAML断言失败率——当错误率超过0.8%时自动触发告警并推送至企业微信。该方案已通过等保2.0三级认证,符合安全合规要求。