你好，请问大哥我想学习SAML得怎么学，完全不会，是需要先看XML吗

@天蓝居士: SAML 是通过 XML 扩展而来，自然你需要知道 XML 是啥，但是不必深究。另外你需要掌握 HTTP，你需要明白 SSO 的流程就是在三方之间通过 HTTP 传递 SAML 格式的消息的流程。

@Launcher: 大哥你好，我是研二的学生毕业设计做这个，但是老师不懂这个我也不懂这个，该怎么学SAML可以加个QQ给我指个方向吗？547471505

@天蓝居士: http://www.cnblogs.com/zsuxiong/archive/2011/11/19/2255497.html

@Launcher: 这个博客我也看过，我现在大致知道SAML是干吗用的但就是不知道该怎么用SAML，它是个语言，我不知道怎么来把它用到单点登录里，不知道用什么来编程是C还是JAVA。

@天蓝居士: 我先提几个基础的问题：

1、知道 HTML 是什么吗？

2、知道如何使用 HTML 制作页面吗？

3、知道用什么来编程 HTML 吗？是 C，还是 JAVA？

@Launcher: 还需要用HTML吗这么复杂的

@天蓝居士: 我是看你掌握了多少基础知识，我想通过一个你熟知的技术来给你解释 SAML 的应用。因为我掌握了较多的基础知识，所以我看了 SAML 的文档，就可以很简单的归纳为在三方之间按照一定的流程通过 SAML 消息交互来完成用户身份认证过程，而这对你很难以理解。或者我站在讲台上，你坐在下面，我也可以在黑板上给你一步一步的讲解一个完整的示例，这中间会有互动，会帮你填补一些空缺的知识点。但是，在这里，我只能尽可能的简单阐述。

@Launcher: 可以加个QQ吗 ，我想请教下您，因为我不太懂这个所以希望您可以给我指个方向需要学习什么往哪方面发力比较好547471505

@天蓝居士: 你掌握了 HTTP,Asp.Net MVC,WCF 等基础知识后再来问吧！否则我就只能让你看源码了。

@Launcher: 大哥，SAML相当于取代了Kerberos,通过LDAP存储数据，但是在基于SAML的SSO系统里如何进行加密解密分发密钥，还需要KDC吗

@天蓝居士: https://www.oasis-open.org/committees/download.php/5250/draft-sstc-solution-profile-kerberos-02.pdf

你只要看个标题就行了，“2 Using Kerberos with SAML”，然后你就知道你错的有多离谱了。

为什么我建议你学习下 WCF，然后使用 WCF 来构建 SSO，你却不听取建议呢？

依照你现在的水平，还没达到拽几个词“Kerboros”、“LDAP”、“密钥分发”、“KDS”就能把概念阐释清楚的地步，还是老老实实的搞明白，在 SSO 场景中，有哪些参与方，消息是如何组装，如何在各个参与方之间传递，各个参与方如何处理消息并响应。

@Launcher: 哥，我在别的博客里看到身份认证、单点登录方面常用的技术规范或协议有Kerberos、SAML，这个意思是不是说随便用哪个都可以实现认证，因为SAML里的IDP就是个认证中心？还有就是搭建一个Kerberos的环境比较复杂，KDC（密钥分发中心）的建立也需要相当多的环节，所以想问问您是不是可以不用kerberos，请您谅解我对这方面知识的匮乏，我是真的有疑问？

@天蓝居士: 

跟你说了别拽名词，因为你根本不理解，SAML 仅仅相当于 XML 中的 DTD，在 C# 中，你会用 C# 代码类解析 SAML 消息，然后根据 SAML 的文法解析并执行相应的操作。或者把 SAML 说成类似于 Java Script，你只是用 C# 写了个 JS 的执行引擎。

微软已经提供了很丰富的例子了，你可以自己学习，

http://weblogs.asp.net/cibrax/single-sign-on-scenarios-with-federation

https://msdn.microsoft.com/en-us/library/aa355045(v=vs.110).aspx

http://blogs.msdn.com/b/alikl/archive/2010/11/02/windows-identity-foundation-wif-code-samples.aspx

@天蓝居士: 对了，你读（“2 Using Kerberos with SAML”）这一节的内容了吗？读懂讲了啥吗？

@Launcher: 不是很明白

@天蓝居士: 那就没办法了，我只能告诉你那份 PDF 文档讲解的是 Kerberos 协议是如何同 SAML 联合使用的。我发这篇文档的目的就是告诉你，你说的什么“SAML相当于取代了Kerberos”之类的观点都是不全面的，在 SAML 中不仅能联合使用 Kerberos，还能用 NTLM等等其它身份认证方案。

到目前为止，我发了很多文档，还有很多示例程序，你文档也看不懂，示例程序也不自己调试运行下，光在这儿磨嘴皮子。就（https://www.oasis-open.org/committees/download.php/5250/draft-sstc-solution-profile-kerberos-02.pdf）这篇文档而言，它就有 12 页（还不包括其要求阅读者必须具备的一些其它基础知识），你认为我能在这里跟你讲清楚吗？

@Launcher: 为什么IDP具备认证功能还需要联合kerberos，毕竟加上kerberos搭建就更复杂了，其实就是这一点我不太明白，还有就是搭建一个基于SAML的单点登录系统，我想弄明白由那几个部分组成然后可以一个一个攻克学习，但现在我只知道需要IDP、SP、LDAP，请问还有别的组成部分吗？

@天蓝居士: “那份 PDF 文档讲解的是 Kerberos 协议是如何同 SAML 联合使用的” ——〉 没有说你必须在 SAML 中联合使用？换句话说，你也可以不用 Kerberos，你从头到尾给我看一遍，我在哪儿说过你必须使用 Kerberos 了？

我发这篇文档的目的就是告诉你，你说的什么“SAML相当于取代了Kerberos”之类的观点都是不全面的。只是为了证明你的理解是错误的，没有告诉你必须用 Kerberos。

http://weblogs.asp.net/cibrax/single-sign-on-scenarios-with-federation

https://msdn.microsoft.com/en-us/library/aa355045(v=vs.110).aspx

http://blogs.msdn.com/b/alikl/archive/2010/11/02/windows-identity-foundation-wif-code-samples.aspx

千万别把 LDAP 跟 SAML 搞混淆了，LDAP 跟你提到的 Kerberos 一样，是不属于 SAML 范畴的概念，大哥，我求求你看看上面提供的示例代码，里面有完整的如何实现 STS（IDP） 的方式，没错，你可以通过简单的使用数据库中存储的用户名和密码来颁发 SAML Token。

@Launcher: ok 多谢了

请问有没有装过shibboleth，我按照这个网址弄到idp没有成功，请帮忙看看http://lhy5201314.iteye.com/blog/1171267

@辰琼: 没用过，只用 WCF 和 WIF。

您好，请问SAML令牌里面包含啥信息，还有就是第二次访问资源的时候先拿着SAML令牌去认证然后返还一个凭证这里面包含什么信息？

@天蓝居士: https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language