Системийн ажиллах зарчим¶
Нэр томъёо¶
IDP (Identity Provider) - Нэгдсэн нэвтрэлтийн баталгаажуулалтын систем. Хэрэглэгчийг баталгаажуулж адилтган таних, нэгдсэн нэвтрэлтэд хамрагдах SP системүүдийг бүртгэх, нэвтрэлтийн session олгох зэрэг үйлдлийг тус систем хийдэг.
SP (Service Provider) - Нэгдсэн нэвтрэлтийн үйлчилгээг авч буй хэрэглэгч талын систем. Жишээлбэл та өөрийн веб cистемийг IDP системд хүсэлт гарган бүртгүүлж нэгдсэн нэвтрэлтийн хэрэгжүүлэлтийг өөрийн системд интеграц хийж өргөтгөх боломжтой.
SAML2 (Security Assertion Markup Language 2) - Веб суурьт нэгдсэн нэвтрэлтийн протокол. Уг протоколын дагуу IDP, SP систем нь нэгдсэн нэвтрэлтийг хэрэгжүүлнэ.
SP Initiated login - SAML протоколын нэвтрэлтийн төрөл. Хэрэглэгч өөрийн ашигладаг системээр дамжуулж нэгдсэн нэвтрэлт хийнэ.
IDP Initiated login - SAML протоколын нэвтрэлтийн төрөл. Хэрэглэгч шууд IDP системийн нэгдсэн нэвтрэлтийн хуудас руу хандаж нэвтэрнэ.
SP Initiated нэгдсэн нэвтрэлт¶
Зураг 1. SP initiated нэгдсэн нэвтрэлтийн ажиллагаа
Хэрэглэгч веб хөтчөөр дамжуулан үйлчилгээ авахыг хүсcэн системд хандана. Жишээлбэл (https://example.gov.mn/service/)
example.gov.mn (Service Provider) систем хэрэглэгчийн хандсан URI хаягийг хадгалж авч, AuthNRequest мессежийг үүсгэн Нэгдсэн нэвтрэлтийн систем рүү HTTP Redirect буцаалт хийнэ.
Веб хөтөч HTTP Redirect буцаалтыг хүлээн авч, HTTP Header->Location талбар дахь URI хаяг руу HTTP GET хүсэлт илгээнэ.
IDP систем AuthNRequest мессежийг шалгаж, тус хэрэглэгч болон IDP системийн хооронд нэвтрэлтийн session үүссэн эсэхийг шалгана. Session үүссэн бол 7 дугаарт, үгүй бол 5 дугаарт шилжинэ.
IDP систем хэрэглэгчид нэвтрэх хуудсыг үзүүлнэ.
Хэрэглэгч өөрийн тоон гарын үсгийг тээгч И-Токен төхөөрөмжийг ашиглан тоон гарын үсэг зурж эсвэл нэг удаагийн SMS код ашиглан системд нэвтрэлт хийнэ.
IDP систем AuthResponse мессежийг үүсгэж хэрэглэгч руу буцаана. Энэ үед хэрэглэгч болон IDP системийн хооронд нэвтрэлтийн session үүссэн байна.
Веб хөтөч AuthResponse мессежийг хүлээн авч, HTTP POST хүсэлтээр SP систем рүү илгээнэ.
SP систем AuthResponse мессежийг шалгаж, SP систем болон хэрэглэгчийн хооронд нэвтрэлтийн session үүсгэнэ. Үүний дараа SP систем нь хэрэглэгчийн анх хандсан URI хаягийг сэргээж HTTP Redirect буцаалтаар хэрэглэгч рүү буцаана.
SP систем болон хэрэглэгчийн хооронд нэвтрэлтийн session үүссэн тул хэрэглэгч хандахыг хүссэн URI хаяг руу хандах эрхтэй болно.
IDP Initiated нэгдсэн нэвтрэлт¶
Зураг 2. IDP initiated нэгдсэн нэвтрэлтийн ажиллагаа
Хэрэглэгч веб хөтчөөр Identity Provider системд хандана.
IDP систем нь хэрэглэгч болон IDP системийн хооронд нэвтрэлтийн session үүссэн эсэхийг шалгана. Session үүссэн бол 5 дугаарт, үгүй бол 3 дугаарт шилжинэ.
IDP систем хэрэглэгчид нэвтрэх хуудсыг үзүүлнэ.
Хэрэглэгч өөрийн тоон гарын үсгийг тээгч И-Токен төхөөрөмжийг ашиглан тоон гарын үсэг зурж эсвэл нэг удаагийн SMS код ашиглан системд нэвтрэлт хийнэ. Энэ үед IDP систем болон хэрэглэгчийн хооронд нэвтрэлтийн session үүснэ.
IDP систем dashboard хуудсыг хэрэглэгч рүү буцаана.
Хэрэглэгч Нэгдсэн нэвтрэлтийн системд нэгдсэн ямар нэг үйлчилгээ үзүүлэгч систем рүү хандана. Жишээлбэл (https://example.gov.mn/service/)
example.gov.mn (SP) систем хэрэглэгчийн хандсан URI хаягийг хадгалж, AuthNRequest мессежийг үүсгэн Нэгдсэн нэвтрэлтийн систем рүү HTTP Redirect буцаалт хийнэ.
Веб хөтөч HTTP Redirect буцаалтыг хүлээн авч, HTTP Header->Location талбар дахь URI хаяг руу HTTP GET хүсэлт илгээнэ.
IDP систем AuthNRequest мессежийг шалгаж, тус хэрэглэгч болон IDP системийн хооронд нэвтрэлтийн session үүссэн эсэхийг шалгана.
Хэрэглэгч болон IDP системийн хооронд нэвтрэлтийн session үүссэн тул AuthResponse мессежийг үүсгэж хэрэглэгч рүү буцаана.
Веб хөтөч AuthResponse мессежийг хүлээн авч, HTTP POST хүсэлтээр SP систем рүү илгээнэ.
SP систем AuthResponse мессежийг шалгаж, SP систем болон хэрэглэгчийн хооронд нэвтрэлтийн session үүсгэнэ. Үүний дараа SP систем нь хэрэглэгчийн анх хандсан URI хаягийг сэргээж HTTP Redirect буцаалтаар хэрэглэгч рүү буцаана.
SP систем болон хэрэглэгчийн хооронд нэвтрэлтийн session үүссэн тул хэрэглэгч хандахыг үүссэн URI хаяг руу хандах эрхтэй болно.
SAML Request/AuthNRequest мессежийн бүтэц¶
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_e0d5c5c3ee2df6d8931a9944fc521114f3e8d7681d75b8e4138028d1728040b5"
Version="2.0"
ForceAuthn="true"
IssueInstant="1535340522"
Destination="https://sso.gov.mn/saml2/sso/"
spID="0ZafktSfzDYQsLD9Ak9kU3iNKBUxVELcf3X4Y6Zl87dq2M/gH1k8774gBthI0CI5"
ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
AssertionConsumerServiceURL="https://example.gov.mn/index.php/?acs">
<saml:Issuer>example.gov.mn</saml:Issuer>
<samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" AllowCreate="true"/>
<samlp:RequestedAuthnContext Comparison="exact">
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:DigSignProtectedTransport</saml:AuthnContextClassRef>
</samlp:RequestedAuthnContext>
</samlp:AuthnRequest>
Нэр |
Тайлбар |
|---|---|
samlp:AuthnRequest[@ID] |
Тухайн мессежийг таних давтагдашгүй дугаар. IDP системээс ирэх AuthResponse мессеж тус ID дугаарыг агуулсан байх ёстой. SP системийн илгээсэн ID дугаар AuthResponse мессежээс ирэх InResponseTo дугаартай таарах ёстой. Тус ID дугаарыг SP систем дахин давтагдашгүй байдлаар үүсгэнэ. |
samlp:AuthnRequest[@Version] |
SAML протоколын хувилбар |
samlp:AuthnRequest[@ForceAuthn] |
true байх |
samlp:AuthnRequest[@IssueInstant] |
AuthNRequest мессежийн үүссэн огноо. (unix timestamp) |
samlp:AuthnRequest[@Destination] |
AuthNRequest мессежийг хүлээн авах системийн URI хаяг |
samlp:AuthnRequest[@spID] |
SP системийг таних дахин давтагдашгүй ID дугаар |
samlp:AuthnRequest[@ProtocolBinding] |
Тухайн мессежэд хариулт өгөх хүсэлтийн төрөл (GET, POST) |
samlp:AuthnRequest[@AssertionConsumerServiceURL] |
AuthResponse мессежийг хүлээн авах системийн URI хаяг |
samlp:AuthnRequest/saml:Issuer |
SP системийн домайн нэр |
samlp:AuthnRequest:samlp:NameIDPolicy |
Дээрх бүтцийн дагуу тогтмол байна. nameid нь хэрэглэгчийг таних ID дугаар бөгөөд Нэгдсэн Гарах үйлдэл хийхэд хэрэглэгдэнэ |
samlp:AuthnRequest/ samlp:RequestedAuthnContext/ saml:AuthnContextClassRef |
Тухайн хэрэглэгч нэвтрэлтийн ямар механизм ашиглаж IDP системд нэвтрэхийг илтгэнэ. DigSignProtectedTransport нь хэрэглэгчийг тоон гарын үсэг ашиглан нэвтрүүлэхийг IDP системээс хүсэж байна |
SAML Request/AuthNRequest (HTTP GET)¶
GET https://sso.gov.mn/saml2/sso/
GET PARAMETERS:
RelayState=https://example.gov.mn/service/
SAMLRequest=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
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
Signature=As+D8zmtbI0ZUWbb7GilPpyP5YWQCKKi3iV+YImyX84VezLRKQ9y5QpvqA3FSq2wysmTSaOCIQ8pAwKSM/1F20P8Jo8i2LwW6XexpobJ/d0e6h9JaP08U8QRR/WFPPQquVijK2ZZ845k8IVlXJJd0Ab12xMF8obqA+Rp5DdiheBImARnS4C+9yxOkFGmVs77Cvx5VzUq4Cm6HhY0inEA5lsllsLpRorZoN/KfHakKLOlcUztqCKjeADXSX/gZSu5lf2lk3GntszISDiIWletlN4kT2+SLWDX+g11fGEpRFcwmxrEZANHcVhywIe87KWGKWNxIakNzPpouM0mKLVDgg==
Параметрийн тайлбар:
SAMLRequest - AuthNRequest мессеж нь SAMLRequest параметрээр дамжих ба base64_encode(gzinflate(AuthNRequest)) хэлбэрт байна.
RelayState - Хэрэглэгчийн SP систем рүү хандсан URI хаяг.
Signature - SAMLRequest, RelayState, SigAlg параметрууд нь тоон гарын үсгээр баталгаажсан байх ба уг параметр нь тоон гарын үсгийн утгыг агуулна.
SigAlg - Тоон гарын үсэг зурагдсан алгоритмын мэдээлэл.
SAML Response/AuthResponse мессежийн бүтэц¶
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="pfxd6ba54c2-ce3db348a2135f15-582e09bf-7dcf7bd7d0b7082c22681baf"
Version="2.0"
IssueInstant="1535348466"
Destination="https://example.gov.mn/index.php/?acs"
InResponseTo="_e0d5c5c3ee2df6d8931a9944fc521114f3e8d7681d75b8e4138028d1728040b5">
<saml:Issuer>https://sso.gov.mn/saml2/</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
<saml:Assertion xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xs="http://www.w3.org/2001/XMLSchema" ID="pfxd852f3c7-e7da466dc9e256d1-cb75363d-cebc66bd1c4c0f3bf7a28bbe" Version="2.0" IssueInstant="1535348466">
<saml:Issuer>https://sso.gov.mn/saml2/</saml:Issuer>
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:unique">_8c338d40b4fccf4580232c0d0f7aaee0f95001f0c88a39be4373faca0679a5bb</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="1535348526" Recipient="https://example.gov.mn/index.php/?acs" InResponseTo="_e0d5c5c3ee2df6d8931a9944fc521114f3e8d7681d75b8e4138028d1728040b5" />
</saml:SubjectConfirmation>
</saml:Subject>
<saml:Conditions NotBefore="1535348466" NotOnOrAfter="1535348526">
<saml:AudienceRestriction>
<saml:Audience>example.gov.mn</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="1535348466" SessionNotOnOrAfter="1535377266" SessionIndex="_fb096f0273f15c08f8d4b856b1dfdef214b40a49957795f60ff454ce4100b388">
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:DigSignProtectedTransport</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
<saml:AttributeStatement>
<saml:Attribute Name="register-number" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">АБ90010101</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
</saml:Assertion>
</samlp:Response>
Нэр |
Тайлбар |
|---|---|
samlp:Response[@ID] |
Тухайн мессежийг таних давтагдашгүй дугаар. Тоон гарын үсгийг шалгахад хэрэг болно |
samlp:Response[@IssueInstant] |
AuthResponse мессежийн үүссэн огноо |
samlp:Response[@Destination] |
AuthResponse мессежийг хүлээн авах системийн URI хаяг |
samlp:Response[@InResponseTo] |
AuthNRequest мессежээс ирсэн ID аттрибутын утга |
samlp:Response/saml:Issuer |
AuthResponse мессежийг олгосон IDP системийн нэр |
samlp:Response/samlp:Status /samlp:StatusCode |
Нэвтрэлт амжилттай болсон эсэхийг илтгэнэ |
samlp:Response/saml:Assertion |
IDP системд нэвтэрсэн хэрэглэгчийн баталгаажуулалтын мэдээлэл. Үүнд нэвтрэлтийн session-ий хүчинтэй хугацаа, Нэвтэрсэн хэрэглэгчийн мэдээлэл (регистрийн дугаар), хэрэглэгчийг таних цор ганц id (nameId) дугаар, тухайн нэвтэрсэн session-г таних дахин давтагдашгүй sessionIndex зэрэг мэдээллүүд багтана |
saml:AuthnStatement[@AuthnInstant] |
Нэвтрэлтийн session олгогдсон хугацаа |
saml:AuthnStatement[@SessionNotOnOrAfter] |
Нэвтрэлтийн session дуусах хугацаа |
saml:AuthnStatement[@SessionIndex] |
Тухайн session-г таних дахин давтагдашгүй утга. Нэгдсэн Гаралтын үед хэрэглэгдэнэ |
saml:AttributeStatement/saml:Attribute |
IDP системд нэвтэрсэн хэрэглэгчийн мэдээлэл |
saml:Assertion элемент нь хэрэглэгчийг танин баталгаажуулсан мэдээллийг агуулж байгаа эмзэг мэдээлэл тул production орчинд заавал тоон гарын үсгээр баталгаажиж, шифрлэгдсэн байх, samlp:Response мессеж нь тоон гарын үсгээр баталгаажсан байх ёстой.
Шифрлэлт болон тоон гарын үсэг нь XML Digital Signature синтаксын дагуу гүйцэтгэгдэнэ. Эцсийн байдлаар AuthResponse мессеж нь:
SAML Response with Signed Message, Signed & Encrypted Assertion¶
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="pfxd6ba54c2-ce3db348a2135f15-582e09bf-7dcf7bd7d0b7082c22681baf" Version="2.0" IssueInstant="1535351135" Destination="https://example.gov.mn/index.php/?acs" InResponseTo="_e0d5c5c3ee2df6d8931a9944fc521114f3e8d7681d75b8e4138028d1728040b5">
<saml:Issuer>https://sso.gov.mn/saml2/</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<ds:Reference URI="#pfxd657de26-98716bdce03b412e-743899cb-ad2c961cd6410081680f0b41">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<ds:DigestValue>1qlYSe5MgYUTc1ij+kYK29CvPB3Ju2HM0NI493IuaAw=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>odKilN7zCuFKLoaoC0u5p4ScgYspvMBAP0zW1PhGHXkEujZtutCLl0AIBEejuNKk0oyu4DO94g61LNquKNBkEYv2aKV8zBpdBJlQdgkcnrsN3q+j7C8qJSvePpGY+1+BK26a8uA/vM6oFi/4f1wDnod4Muc8MKkO8Vvf//R78YBFrkgYf0ycZQv2PhbZLsd20bLLN97bLb3haJmuEF2T6KiEraBRQvS4NWN7vDqDcruHcIX4Mur9dy+SnMVPi4slvvqft64/0My+l0ZxRO9Ettwry1VqHn90x3gADuv27L1W+58vZKGytUJPndhmSrpWVACEHfu6m3A/bqch+kInbw==</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>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</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:EncryptedAssertion>
<xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Type="http://www.w3.org/2001/04/xmlenc#Element">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
<dsig:KeyInfo>
<xenc:EncryptedKey>
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
<xenc:CipherData>
<xenc:CipherValue>qGLEn3d8Ib8Bjxa3VvwOf+dIS97EHKfsaA0/OPYz57AfBc65bYxyaV6CSRQKjNehtxDmb3/9CxNpSdt20VEK5s3q7TRNGISxQ4gT72v80fWmCNdPCP+gxcDoJ2Wq71nkjMVJ6cS2E5lkbivKNPeii9RkNg7bmfl5SsoldMBIXhsalOQTg5nsy4Qtg18mY3hBGnSF5Grhi0iAheOAqTmGAqpw0QaetueSEHJ8knxp7tKAV3qRLHGc9EBSeHDx4oTZ8OdRPfbf/XIdthHfscIbXehkTidZiilPsHLJUiA79W2Smw9xGfUtp0SQ4FRdMAjsgnJv8Xtsb2bgjuvg2tpcyw==</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedKey>
</dsig:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>gcjtpLy0jVoQQk6N75fbXMdIQ0y4Re7WY7t3Hikhj1d+xPo4ybG+BQTI5RhJlKSU2Ovdu6c4HNWJUHihU5Etjv9KiM34oSI7lc3+vApwLB/S6lwuz6CRlL6qLym391lzi/fmE3TmvCRvYv1rn0clUPzCNd+XGDC4rsmvpFgEUl/nhkHfH/uWWvtxwElz8IONytQmbQFhcV9Y46Sw1YO0LL88YZcATm/I7Dm+n3bYuI7sZ6aqEjXi/Enjyswh7C1HlpKJv2spCQNzbA2Htnl63nWt2d5viHtDgIfrykIOcPuGaoEYwZOGjjXknvCDI2N4Usy5iFh2UHbDTvxVF2FSGEitA6kOz5qaCY9a0KzmyDtPHTpd3aWWhgO/EGTtlkHMLUHMmsVSTYrU3eSyQq2+tzpBS+kdV6EaF0rcJYMZZ+8jcHk1Fu6V9i1mRUd96BDDosBtoqvWwlA1fFGyjJtzc8RkoGJD1cdcm8WCOjeUKMiuK4KW806vEMwbHdgy04F3yC2z49/Cy8+GAeM9SaKUxnbpC/qXdQ8blaa2+T5FzQh8SIbw1tWWo8j0O+ETR9PJSy08VIwOnHw+3jz8SwE/l+9H8BHOqfvqS8IkYGkS17folzQ5dpTpKDmeYBruEEPY7PKQuFnAp2d5ICvmJf23xXoXc4/FQx3KftnvDGH7huJ8Eq9H9EKVpe0dwEeZ0L030/RuPrQOzYoDs3s2fmMn2CB9Xjv/JzkoGaaWhrtWBFyYdMmWBNBxC7qVFinZbzEY/cp8aroFTJuuL0EWsgRljG5oY7PzTqQ0NcbSHB9+sg6YXU60133Ynn7NHNAJgKtjAszNCu77gWJ7PYYoT4TLxvDbNC2gD1O/9wjtK1B7+qrku5uLfuRTXwkDJUk2JCC7rNNWxBUl787BTkXbQ8xsKrY2s8jnEzwcR2V3J4W56yvs1YbjRKpo0dyu83JrxWqOQMEoXYaluePkqsWGU1mPUc/53nnNEm97jnwcZnQidn5+t1AOG5huBjcmwaBXMsszKKWdxsopb7Vu/Do8wlEaUawm51Ej5sIRbg2CpFZ0HLKTC2ZY58kdDA3yK0hmmI8+6GhZ0LY7yUVgev4Is+npH27pFI7z5wiCXc8MlCoD75NA2KjYnEFN+aUFf2Bj7KbWjz16rmrUP3mBuCcPqIwBTtFbDS1b5WHsuY8obDY1y6ag8GE8mNTJzMCyTGAvCOp3HUH6lQtLrAiHVn5lOaAXQL5dDEtHWGL7GCrc0INzKE7cBI1g9npbYs6Hw/JRW6OZ7DfGgwR1JZew0jll5Ufv5YvXNuMZ8Ma0Neyf9xCE82UfNMM+p6ksCBvWEWakVg1XBbbTiCjLfNpoB2Dmh7iRtiNePgXNNJSZgoLLMOV52vktzwniJUOjn88bfdx74f9fksHw1bqLfUHUJg54OkCJ+uyB44sLszCR2DVohtVMRbhF0RZGbHsRXzGVYRQw+jXiJlfc9YJW4/VcR85g4C7MYH8L/EkP4Oa5nPOJ+TR8BtrA8WsnJP+nvCqnDKm+fXljUNtHXAO1N7HAyEjQ0Hgj/03otW4wnYBCUNBjiNDnjmEAo7gGiKlJ45Y9fRc/OyBHo8rKluNWbKSQHielfYPDuNbD/s7Q6eSx0uLUHXBqlNJdEzrewjDp7RE1bcxby+e/5PVNaMUGp7lSqwR1h5CZl8UFXmTgOMpwsE7SZCj+pyldCYqzckXa18rXB2tENtJ+2iIL9A9sQDQB1tpAuGEml2kUja23JSYFuLTGESNevyny43iNqZ+ez7zepgiInT9G/vqjhG4yhRRtDD+3jG/YcaMAYkJ1mW7QgswNTr0ZyxMQyCo3fa3Tvc4xyho3XO3IPFeq4a1I8ozt2ILaUrFDHFYMFZJbOsPfV7p1aOJa/Iqo0SE0eVd0t5YU6cSaJUtEhPOTmeGqiwre1+8igPfewYCZezu2V8bbSbJemUvPZ7CarWndK8+Tn98S6kXrVaAZlDyp6zSTy2BAdnaS+YfDJUvabfaTHgvK7PpQ/N4XYQ9Mgx9+T8ukzE56QPcmhUYy6vEtBAePpN133BM6Bpz8kgxaBLLtSWgwosR51av7d8wO19KkY6lktxtlQug5lWtG0XgQ4b8xiqVtimNHrKy9sD+/i3Zuxhq4YXrOYenZWN8c6E4TY6Vpfq1+HLE3KgSG6rbglScqcbHhXq7TiHTaNvQukq3ZLchKGL5du60tLA53sQI336DnBWnREOh+y9btHcd1pNETDmp6i6xiYbzTYAWpiolkdstX6QIQterfByZJs7LBIvZ3MDNzprnZhIyja/62Lpt3sB1z/X0h4uVxZ0eBhT87nXTWGpCpjwofZh9GTOtSWVblIjE2DnWMymnUOumIjgv+jdgEpaZEkOz4ffqPl3Z1cuAx1QR+vzr6Yp9Nv1g86HNX21XoRGFcY5lT1W/MP6MFIqj26KFyq+WFdQwbGy1hLCyq92eVbLMZrKBB75NBmqwS3vb85i5eGDGxGhxUeCWy/NrZE2Ef+c18RW8QUwqhtrQygju4M/CDUVMYba7YGKJIihudSJHGm0yohUsg3yfnaHBGxFNJB8OAO61HxOWuexFA8/JS8f709lTzZQlb188nF2n+C6siZ+myx7CdAHSUhqF/FTI0NAMbDXwmCRWXqSuCXHIjqcAaTRfsYeC20h1dmoP4TMfWkiyCwZie6pYwnp7HTfTyjBfYjQa2ipGFsl9oqmHAtZUTS+bM5h82jmTEXKrJ4OO9noMe+usbM3mdCAbsctzCCU05zrB2NnWv6wK5rWlYSSKuEOlPrXQ1MKgVPqSBOVf5SdKKw5GpB7z9Mmucr5X9yS6VC7PKLk3zeYbwZdNIVVU6ACVAghibFBQZd3wJPxYFWppmFtOmoBOcZaPiH73rjGCHnC9KQ/uwE11iSTll3HxDgSZ/DDz7Amur79UH+L8r9MHtALRKx5Du/0WKqlEp4Kshz+YenCbBy1gLpH6VOVkOjh97IwiS6mIKkt/gc7Qaa8S8CSQOIgZ/Q2WyRxhCgJVNm+jCYz/XPeteKV3z1nwIugi3pnDwFFA6UEVpMh5EGf9CgDBDTd4iB4xjj+CR8lZ1deflFRPqGhQWt1duBWiPSM1ALiY2qw+sCA4znZEOSCo7V+LICr7Uy43a4VMjhiP9XRyK3TlPf8LC9W5sxNrQAGV0C6MeihaPHHvGAAlvThlUu++ZMfdm4QQCj+1rjj3kfgzUzTmfMZrNxguxBcBvgRPK+qwL5l74h+oo1KtmXcKETvSA3qwQAaksLDCvwBrcOGdQaLSn9bdLod47roLNiG9OqRC8nvZhoqx8n2NHnkvW4/iCCxH6IBv2xmRnAxumEJHswNS10rYIWqziqPmSqb3UetiwWJgtPgcw2Za0nJPYt22zkcBzN5EsFHS+5/5xeVd9xpxCvVOOYNOCT94SyGn/h0HVdQu54Sy5tbUU6yfaC7rMApeIW+pMQs1iWdHOvyogbJoeOZfFSwNZ8An2Ini+fP7aov9+ceDVGMYxqOY6q5n1LOmEnbIFyT7nLGzs6ShVBNVuB1YUpciZhZKyccZqz4yyukyri6iFxqfFIuecCwLu9Wr43FcT0Y6e7Tl68fEzPBm4lFoj8FZCUhGeXLKfLvUwqT/shOZdGFJw0JcVz+gNTTJVdvF/Tcy0gksIB3AGtbVbVRgYPQPUQ66zZXVcp8u+Z2IVyk6ovCLA3OmsmRh3HCEgj1XIkeDG6XuNVM8E9cO7j76S8f29fpINxROeMY2Pz26XeJuNK1T2mx3HbAtAUmg2ODBurLGieJMCwyAnRP6+gWsTYtBa6zI2ZNZRJdaV9UkTWabpB9Xm7R0/5WIADk5yFW5jTO5ZAyocAeq+UfyHoQ8zopbwSJ6zWSEyhfJ9ldhPpstVWEG2cIQZiUbSWu3g3FbU3YnS1IUXqFql/MUjB6e6iSE5FGOapiAPf56EQFxMewBOgUtbSQ2uJ9vU/y11oErWgBDnv5n3izl/m1KvU7wGIy6N5a3rbL0OK+pi6IJP9gb2ATT3dOLnFt6aWwBj/YN+96GbATehFIzh/f9M9z9tKR2Ky3LzdkwB4YY7N/ApEeYYsTv0yta6TPyD0ZsZL7uL/Ydo0nRgNTU4sNzTmciZ0ZefkvBqafhj6oi42qdEEk5a8jBtKLj8c71EASlbFUT+Ffoo8bdx3gK3oNrn3+VI7cdjtgPGK1cDMyCa7sj+/Di0yoXkY279AF804SaNO4YlU4SiAC4yOo3KqB3LnZWwA2/znoAp9sVmZrCLW3nbikbBmBRQ4qfJhE3STRJOYNu2fN9kjCKOyvAGnZ08z+42dY9v7tImPLlpVU57bbD8uerMOj2gSUn7KhzN7Zh7kgoKG+BWRAdfyHdOHRED12jKkHi4DvllXNbf/IOUuLXXnJ9koVf4R5xHOL8Viy+7VKpz0rcgapyiNMKKQ5ZfcA3GVgrJIaWMwj2lsrRf5e/BFtYxW7jjxJtC3lT+y+nxTeMMg9Qh8pCF8/NoCxUi9k7fRoS4PMM4oV4MY0NHwWkjZA/QKcPEwts2L5ez9x83q4TVy7drltEDdav067UsPkU8KMhRZntIFqVfPvONPdOn0Uffks2mnM3yT6MGYF8JBBKPp8ia0I8q1MbS5Yj9WKDOzR6bexbQcYEcOW0jy8mTOroUt8Gh8OG76S6Eye3+WGDI3Y2ZYk+bcJHHBvGEyAWFZ2pNcb+d4ZDdMCSX9fpRTosSEW9d7dmLvJU2vuS5s5GqJf6z6swtL1g7FXbJvkskml3fXyEN5KnrA6XsZnLtjgx5upqhmHP0Et7VS9oRD9dzHoV8AAb/JBsKwVrTX50e+Q6Iti731sPLbAae3P76gKBjMXuZ3U0pg0M1NtPczB36j57eRTygTfAhUgsKvXWMnpFjgl2UFLFeKWTnGEItSTSsoKKHIIaOv8MBB6D/2Q1RNm2lB1wLTaKL6L/0JydHObpYb4/Tf066HzL0ZPd57gbf96cDBpAPLL7Oxx83v9inrYKW5Xzq/Q1OXMZPsOiw6ulAV9x0/2HQBgKpZAzM39qqbPmWi2KR0YTeOUdVXTOuhn4RDOq8KNYXcOYGx4UbEEiMqbneF/wpYKuec9X255Y1xTGG7BwLSZQ3a9m5lReOlnsQW/yGvSeAW6N5HwcMH6kAYyrUmvHV/athnREghYFN0sITzO9QV3dGijkSMGOt5PYD5ddISnCq60MhxbUQTMkieI4QofDFo91dEPT+V0U9FtsEbHsEWv7+RiDG33CmjoELdwf2T6zUMi/01QspCs/+//FOKhPq1HIRsb8jqgbrytj+GLyEfl4AbnwViz/dbX6NCqtBbrtRjkMBeCC99LguohMNkZAEZkWgyRk5Tkxefowh9vPSJorvUWv1iq/Q1bZjF+MeZIM79y4j4KUXOBisdhBQUuNRFGSU0egAYDdUz8QaOBlldUdpkFEU27AGbKrkMbaQDCQIdCVc7q6sMrSrCPp5m2IMBpBeJPO9wYlDemvu1QTAhwbOwiams+l4T/mmd01RkswGqKS6mvzp8aDWHgY5O8Gn161NB1YyYBa6y4exEvXRpYOyyzJQom6s2pn/JWMgT5nGKp2HS0u4QRKPux5Rgh3Li2Cy1/Ly4oZ8a2rdyt76nry1iUNC89s/6TcI2aE83w==</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedData>
</saml:EncryptedAssertion>
</samlp:Response>
IDP Initiated нэгдсэн гаралт¶
Хэрэглэгч SP системээс гарах товч дарахад https://sso.gov.mn/saml2/sso/ хуудсанд хандана.
IDP систем хэрэглэгчийн хооронд нэвтрэлтийн session үүссэн байгаа тул хэрэглэгчид Нэгдсэн нэвтрэлтийн системийн dashboard хуудсыг үзүүлнэ.
Хэрэглэгч dashboard хуудсанд байрлах “Системээс гарах” товч дарж нэгдсэн гарах үйлдлийг гүйцэтгэнэ.
Зураг 3. IDP initiated нэгдсэн гаралтын ажиллагаа
IDP систем LogoutRequest мессежийг үүсгэж, хэрэглэгч рүү HTTP Redirect буцаалт хийнэ.
Веб хөтөч HTTP Redirect буцаалтыг хүлээн авч, HTTP Header->Location талбар дахь URI (SP систем) хаяг руу HTTP GET хүсэлт илгээнэ.
SP систем LogoutRequest мессежийг шалгаж, хэрэглэгчийн session-г устган LogoutResponse мессежийг үүсгэж HTTP Redirect буцаалтаар буцаана.
Веб хөтөч HTTP Redirect буцаалтыг хүлээн авч, HTTP Header->Location талбар дахь URI хаяг руу HTTP GET хүсэлт илгээнэ.
IDP систем LogoutResponse мессежийг шалгаж, хэрэглэгчийн session-г устгана.
SAML Request/LogoutRequest мессежийн бүтэц (IDP->SP)¶
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="MNDC_ea5c1a422abcc8970050675ca64706543edd7eb674a905270972956cb53deb40"
Version="2.0"
IssueInstant="1535352781"
Destination="https://example.gov.mn/index.php/?sls">
<saml:Issuer>https://sso.gov.mn/saml2/</saml:Issuer>
<saml:EncryptedID>
<xenc:EncryptedData xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Type="http://www.w3.org/2001/04/xmlenc#Element">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
<dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
<xenc:EncryptedKey>
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
<xenc:CipherData>
<xenc:CipherValue>CDeAL1V6KWGPFJXN8s+g3H/YElpTWbXUMEngbuOMKC5ydTBF4yZ/AkwQQOWmfJ8QTHVmp4hXd/bWkppmZgguqbpw96GtyqrFuIvkMTgaYxCA6K3R5srYZG0nnokqvRSa8eLrR0Qg1NWHVRAMPLk9BwrPU6uD9jjmyxQ49/LxGGtskth6jcYIKQp5NobVUOGZ/8TUiRMyZ9MjR+rmtGhpY9TpN3V2LJc35bn/5iF6QZ4LLP5YklYFli9MgF26o40BWSgElP7lMcEIOjUK9yx/OhWny1/AlLS5ydEijZvXugBT9sjXD4dCPQNze7ENXMWr1oBum4OT7Mseq45SX59blA==</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedKey>
</dsig:KeyInfo>
<xenc:CipherData>
<xenc:CipherValue>REu7u7PcTd9n5XcNBXhxRKGTwq/ewhzr2VMVyEqRRX32K0bN03clekVXwh95V33P8MR81sNTxfrquqRpkF6YG8/JxhuPUdgP4MTKcxdC2FvlB6OmYZLgtDmdqLaNf1Pyh1fzZd96noiJqUrTVmS5i2V7+Pw+6i17nJXMNHrhGl+FbKbbn/4TzkhagGltu+SL7aMXTN6Atwlacfq6KArj9bf293JqZWVKQtxBLOuDczM=</xenc:CipherValue>
</xenc:CipherData>
</xenc:EncryptedData>
</saml:EncryptedID>
</samlp:LogoutRequest>
saml:EncryptedID элементийн шифрлэлтийг тайлсны дараа¶
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="MNDC_ea5c1a422abcc8970050675ca64706543edd7eb674a905270972956cb53deb40"
Version="2.0"
IssueInstant="1535352781"
Destination="https://example.gov.mn/index.php/?sls">
<saml:Issuer>https://sso.gov.mn/saml2/</saml:Issuer>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted">_8c338d40b4fccf4580232c0d0f7aaee0f95001f0c88a39be4373faca0679a5bb</saml:NameID>
</samlp:LogoutRequest>
Нэр |
Тайлбар |
|---|---|
samlp:LogoutRequest[@ID] |
Тухайн мессежийг таних давтагдашгүй дугаар |
samlp:LogoutRequest[@IssueInstant] |
LogoutRequest мессежийн үүссэн огноо |
samlp:LogoutRequest[@Destination] |
LogoutRequest мессежийг хүлээн авах системийн URI хаяг |
samlp:LogoutRequest/saml:Issuer |
LogoutRequest мессежийг олгосон IDP системийн нэр |
samlp:LogoutRequest/saml:NameID |
Системээс гарч буй хэрэглэгчийг таних ID |
SAML Request/LogoutRequest (HTTP GET) (IDP->SP)¶
GET https://example.gov.mn/index.php/?sls
GET PARAMETERS:
SAMLRequest=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
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
Signature=sX5qs4wSfqhV9qeXhsCOXBrdXK78ELGlIfkpnRBl2docZIAk2R+aUN0XOjx1FpmMyxUgSvDZ3hOfrn6D8SpioaAEjxI8kwrPhSFvEAsywp01WnAs1XKsZlSksW4uwH6HcEfqQIsVg4VoGFrTESuT7TKH19q82OzheJvz0z2uMiWBvAAiiVTEVC7xbQ+jLMy3Vd3u0iyshECzDEI/15O8ePlhVR1ocg2KxAGbWg0AIzCKdNsfRdy1X16jO0J6fLGEgA7dl09vHy4jLrTAfH+XqZi8KvIZaOdm285gbPOEpu+m/0rxriRKiz7/BTGaaSgvGOAzyJZutUI1O93VtNRb5Q==
Параметрийн тайлбар:
SAMLRequest - LogoutRequest мессеж нь SAMLRequest параметрээр дамжих ба base64_encode(gzinflate(LogoutRequest)) хэлбэрт байна.
Signature - SAMLRequest, SigAlg параметрууд нь тоон гарын үсгээр баталгаажсан байх ба уг параметр нь тоон гарын үсгийн утгыг агуулна.
SigAlg - Тоон гарын үсэг зурсан алгоритмын мэдээлэл.
SAML Response/LogoutResponse мессежийн бүтэц (SP->IDP)¶
<samlp:LogoutResponse xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_e45937638bf01275178fe6a8b1d33cadccb16c4ed591d01546c6f68b12a50ea9"
Version="2.0"
IssueInstant="1535355232"
Destination="https://sso.gov.mn/saml2/slo/"
InResponseTo="MNDC_ea5c1a422abcc8970050675ca64706543edd7eb674a905270972956cb53deb40">
<saml:Issuer>example.gov.mn</saml:Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
</samlp:LogoutResponse>
SAML Response/LogoutResponse (HTTP GET) (SP->IDP)¶
GET http://sso.gov.mn/saml2/slo/
GET PARAMETERS:
SAMLResponse=fVJda8MgFH3frwh5X6PRfEkTGO1Lod3DOvZa1Ny0hURDrhn7+bNhXVcWqiB6PJxzz9Ulyq7txdYe7ejeAHtrEIKvrjUopqsyHAcjrMQzCiM7QOG02L/stiJeENEP1llt2/Ap+DduIo81JCIM7mzNnMhmXYYHqCHO6lzKmDQSGpZyniuVFX5NqCIFlTypGU8oV7VqNM0BZMP9hoEETbI54Q8Y0HuWoS9h1hhxhI1BJ40rQ5owP5M0Lua4a0B3NtJNeifnehFFiHZxtJ+LzkSXFsQRtjaaNTLXtr/bMty9rlcHnzItFPfBGI0J1UXBNPGgZD5RSoDoTGuqtSQFi1WW+tQkIbliPE8aHtM5m2rClpdaxJRtqLB/7k+9r3AZ/YVvxF7snXQjVr96d/DK1hB8yHaExw+ME1vsR60BMQyiH4vo3uN6vv+L1Tc=
SigAlg=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
Signature=ec8hrDnJe42dxgMaVnPu5fNnWyYv4y9vXsew2MaJzgCrFUXbJ0iNApS3gnln3MW8/ShnOOTDEP1jiggTjULxMdlvRDBQXevaCJyspacMVbTfF+wPxSD3ZebrKgJT701b2w0FB5vJ3z0gEduabJyrn0fpwVudDPRe5U6arp6R3oAjZe33+1ro3KpC0PCF1Qps29hqsRQyp31p/IXkqFDrVzjOP49e+gXpjt2mY90DPaQb9SBuuP66qVgH7R/Ltj0xGU6D/KE9FlrLpMdW2y+QVbcpXo3XyjLENGCVg7SXTwlWkS3npsbpShBFKk7uTatll6uOSGfGCoBTLRddKzz8vw==
Параметрийн тайлбар:
SAMLResponse - LogoutResponse мессеж нь SAMLResponse параметрээр дамжих ба base64_encode(gzinflate(LogoutResponse)) хэлбэрт байна.
Signature - SAMLResponse, SigAlg параметрууд нь тоон гарын үсгээр баталгаажсан байх ба уг параметр нь тоон гарын үсгийн утгыг агуулна.
SigAlg - Тоон гарын үсэг зурсан алгоритмын мэдээлэл.
Important
Нэгдсэн нэвтрэлтийн системийг хэрэгжүүлэхээс өмнө зайлшгүй мэдэж байх шаардлагатай ойлголтууд:
XML DIGITAL SIGNATURE
SAML 2.0 Протоколын ажиллах зарчим