SAML 2.0 单点登录实战（ACS、Metadata、签名与加密）

SAML 2.0 单点登录实战（ACS、Metadata、签名与加密）概述SAML 通过身份提供方（IdP）与服务提供方（SP）交换断言实现 SSO。本文聚焦 ACS/Metadata 对接与签名加密策略。关键实践与参数ACS（Assertion Consumer Service）：SP 接收 SAML Response 的端点；支持 POST/Redirect。Metadata：双方发布实体信息、证书与端点；定期轮换并校验。签名与加密：响应与断言签名（XML Signature）；断言加密（XML Encryption）。NameID 与属性映射：选择 `email`/`persistent`，声明必要属性。验证方法使用测试 IdP（如 SSOCircle/Keycloak）对接；检查签名与证书链。模拟过期与撤销证书；响应应被拒绝。审计登录事件与属性映射正确性。注意事项防重放与时间窗口（`NotBefore/NotOnOrAfter`）；时钟同步。单点登出（SLO）与会话管理；明确回调与撤销流程。证书轮换与 Metadata 更新自动化。