最近的工作中第一次接觸到了怎么具體設(shè)置基于SAML的單點(diǎn)登錄，以及其工作原理。原來在學(xué)習(xí)AWS的時(shí)候總能在官方文檔中看見SAML，貌似所有的官方文檔（不止AWS）都盡可能不說人話，只知道這個(gè)是和系統(tǒng)認(rèn)證相關(guān)聯(lián)，其余的讀的是一頭霧水，當(dāng)然我這閱讀理解的水平也待提高。

　　這次接觸到的SAML設(shè)置中，主要關(guān)系到了兩個(gè)系統(tǒng)：一個(gè)是IDP，即ID Provider，是一個(gè)保存用戶信息，對(duì)用戶輸入的用戶名和密碼進(jìn)行驗(yàn)證的系統(tǒng)；還有一個(gè)是SP，即Service Provider，對(duì)已經(jīng)通過了驗(yàn)證的用戶提供某種服務(wù)的系統(tǒng)。

　　假設(shè)有一個(gè)A公司，在日常的工作中，A公司的員工需要使用A1系統(tǒng)，A2系統(tǒng)，A3系統(tǒng)，這些系統(tǒng)為這個(gè)公司提供不同的服務(wù)，為了能夠使用這些系統(tǒng)，員工們都必須擁有能夠使用這些系統(tǒng)的用戶名和密碼。隨著使用的系統(tǒng)個(gè)數(shù)增加，對(duì)這些系統(tǒng)的用戶名以及密碼的管理所花費(fèi)的時(shí)間精力也會(huì)增加。那么這時(shí)候就有一個(gè)簡單的方法來對(duì)應(yīng)這種情況：把所有的用戶名和密碼放在同一個(gè)系統(tǒng)中，也就是IDP，然后可以通過在IDP系統(tǒng)和SP系統(tǒng)（A1系統(tǒng)，A2系統(tǒng)，A3系統(tǒng)）之間建立一個(gè)通道，使得IDP系統(tǒng)中的用戶可以直接登陸到各個(gè)SP系統(tǒng)中，這樣就會(huì)省去了各個(gè)系統(tǒng)對(duì)各個(gè)用戶進(jìn)行認(rèn)證的麻煩。?

　　Salesforce系統(tǒng)支持SAML的設(shè)置，它同時(shí)可以扮演IDP和SP的角色。測(cè)試階段可以在兩個(gè)不同的Salesforce系統(tǒng)中進(jìn)行測(cè)試，一個(gè)扮演IDP，一個(gè)扮演SP。原理就是通過把IDP處生成的證書導(dǎo)入到SP中，然后在IDP方生成一個(gè)連接APP，通過生成的APP開始鏈接URL來直接跳轉(zhuǎn)到SP。

　　具體步驟：

　　首先，在IDP系統(tǒng)下載證書，然后記住它的Issuer

　　其次，在SP系統(tǒng)激活SSO設(shè)置，需要設(shè)置的地方有：SAML Version選擇2，在Issuer處填寫IDP系統(tǒng)下載證書地方的Issuer，Identity Provider Certificate上傳從IDP系統(tǒng)下載的證書，SAML Identity Type選擇Assertion contains the Federation ID from the User object，SAML Identity Location 選擇Identity is in the NameIdentifier element of the Subject statement, Entity ID選擇SP系統(tǒng)的My Domain，如果沒有的話，選擇https://saml.salesforce.com。

　　最后，需要在IDP系統(tǒng)生成一個(gè)APP，APP名字等可以任意寫，需要注意的是下面的Web App Settings，Entity ID需要填寫的是SP設(shè)置SSO的時(shí)候使用的Entity ID，ACS URL處需要填寫的是SP系統(tǒng)設(shè)置SSO之后生成的Salesforce Login URL，Subject Type應(yīng)該選擇Federation ID，Issuer是IDP系統(tǒng)下載證書頁面的Issuer URL，然后保存該APP后會(huì)自動(dòng)生成一個(gè)IDP-init的login url，可以將這個(gè)login URl 設(shè)置成該APP的開始URL，通過點(diǎn)擊該URL，IDP認(rèn)證的用戶會(huì)從IDP系統(tǒng)跳轉(zhuǎn)到SP系統(tǒng)，從而減少SP系統(tǒng)的認(rèn)證手續(xù)，同理，當(dāng)SP不是Salesforce的時(shí)候，也可以通過相同的方法設(shè)置SSO。