Back

SAML Ayrıştırıcı

SAML (Security Assertion Markup Language), kimlik sağlayıcıları (IdP) ve hizmet sağlayıcıları (SP) arasında kimlik doğrulama ve yetkilendirme verilerini değiş tokuş etmek için XML tabanlı bir standarttır. Bu araç URL'lerden SAML mesajlarını çözer, Base64 ve DEFLATE kodlamasını işler ve inceleme için XML'i düzgün biçimlendirir.

Spesifikasyonlar

Yaygin Kullanim Alanlari

  • Kurumsal Tek Oturum Açma (SSO) kimlik doğrulama akışlarını hata ayıklama
  • Kimlik sağlayıcılarından (Okta, Azure AD, ADFS) SAML ifadelerini inceleme
  • Hizmetler arası SAML entegrasyon sorunlarını giderme
  • İfade özniteliklerini ve NameID değerlerini doğrulama
  • AuthnContext ve oturum parametrelerini analiz etme
  • Güvenlik incelemesi için SAML yapılandırmalarını denetleme

Ozellikler

  • SAML AuthnRequest mesajlarını ayrıştırma (SP'den IdP'ye)
  • SAML Response ve Assertion çözme (IdP'den SP'ye)
  • URL sorgu parametrelerinden SAMLRequest ve SAMLResponse çıkarma
  • Base64 kodlama ve DEFLATE sıkıştırma işleme (HTTP-Redirect bağlama)
  • Sözdizimi vurgulaması ile XML yapısını düzgün yazdırma
  • Mesaj genel görünümünü gösterme (tür, ID, IssueInstant, Destination, Status)
  • Issuer, Subject/NameID ve Conditions çıkarma
  • AttributeStatement'tan ifade özniteliklerini görüntüleme
  • İmza varlık göstergesi

Ornekler

SAML Response URL

Deneyin →

Sorgu dizesinde Base64 ile kodlanmış bir SAML Response içeren URL.

https://sp.example.com/acs?SAMLResponse=PHNhbWxwOlJlc3BvbnNlLz4=

Ipuclari

  • SAML iki ana bağlama kullanır: HTTP-Redirect (deflate+base64 ile GET) ve HTTP-POST (base64 ile POST).
  • RelayState parametresi, SSO akışı boyunca orijinal istenen URL'yi korur.
  • SAML ifadeleri imzalanmış, şifrelenmiş veya her ikisi olabilir. Bu araç çözülmüş içeriği gösterir.
  • İfade zamanlamasını doğrulamak için NotBefore ve NotOnOrAfter koşullarını kontrol edin.

Anlama SAML Ayrıştırıcı

SAML (Security Assertion Markup Language), bir Kimlik Sağlayıcı (IdP) ve Hizmet Sağlayıcı (SP) arasında kimlik doğrulama ve yetkilendirme verilerini değiş tokuş etmek için XML tabanlı açık bir standarttır. 2005 yılında OASIS tarafından yayımlanan SAML 2.0, kurumsal Tek Oturum Açma (SSO) için baskın protokol olmaya devam etmekte olup çalışanların bir kez kimlik doğrulaması yaparak birden fazla uygulamaya erişmesini sağlar.

Bir SAML SSO akışı şu şekilde çalışır: kullanıcı bir hizmet sağlayıcısına erişmeye çalışır, SP bir AuthnRequest oluşturur ve tarayıcıyı IdP'ye yönlendirir, IdP kullanıcının kimliğini doğrular ve Assertion içeren bir SAML Response oluşturur, tarayıcı bu Response'u POST ile SP'ye geri gönderir. İfade, kullanıcının kimliğini (NameID), özniteliklerini (e-posta, gruplar, roller) ve koşullarını (geçerlilik penceresi, hedef kitle kısıtlaması) içerir.

SAML mesajları bağlamalar kullanılarak taşınır. HTTP-Redirect bağlaması, XML'i DEFLATE sıkıştırma ve Base64 kodlama kullanarak bir URL sorgu parametresinde kodlar. HTTP-POST bağlaması yalnızca Base64 kullanır ve otomatik gönderilen bir form aracılığıyla iletir. SAML'ı hata ayıklamak, temel XML'i incelemek için bu katmanların çözülmesini gerektirir.

SAML ifadeleri imzalanmış (IdP'den geldiğini kanıtlamak için), şifrelenmiş (aracıların içeriği okumasını önlemek için) veya her ikisi olabilir. SSO sorunlarını giderirken ilk adım her zaman SAML Response'u çözmek ve ifadenin koşullarını, hedef kitlesini, zaman damgalarını ve öznitelik değerlerini kontrol etmektir.

SAML ve OAuth 2.0/OpenID Connect farklı amaçlara hizmet eder. SAML, tarayıcı yönlendirmeleri aracılığıyla taşınan XML tabanlı ifadeler kullanan kurumsal SSO için tasarlanmıştır ve ADFS ve Okta gibi kimlik sağlayıcılarına sahip kurumsal ortamlarda en yaygındır. OAuth 2.0, JSON belirteçleri kullanan API erişimi için bir yetkilendirme çerçevesidir ve OpenID Connect, JWT'ler kullanarak OAuth üzerine bir kimlik doğrulama katmanı ekler. OIDC modern web ve mobil uygulamalarda daha yaygınken, SAML kurumsal BT ortamlarında baskın olmaya devam etmektedir.

SAML mesajları, taşıma için kodlandıklarından genellikle anlaşılamaz dizeler olarak görünür. HTTP-POST bağlamasında XML, Base64 ile kodlanır. HTTP-Redirect bağlamasında XML önce DEFLATE ile sıkıştırılır, ardından Base64 ile kodlanır, sonra URL kodlanır. Orijinal XML'i okumak bu katmanların doğru sırada geri alınmasını gerektirir. Bu araç hangi bağlama kullanılmış olursa olsun tüm çözme adımlarını otomatik olarak gerçekleştirir.

SAML hatalarını giderirken birkaç yaygın nedeni kontrol edin: IdP ve SP arasındaki saat farkı ifade zaman damgalarının doğrulanamamasına neden olabilir; Audience öğesi SP'nin yapılandırılmış varlık kimliği ile tam olarak eşleşmelidir; ifadeler NotOnOrAfter süresini aşmış olabilir; Destination özniteliği SP'nin Assertion Consumer Service (ACS) URL'si ile eşleşmelidir; ve yakın zamanda döndürüldüyse SP'de IdP'nin güncel imzalama sertifikası bulunmayabilir. RelayState parametresi de SSO akışında önemli bir rol oynar — kimlik doğrulama yönlendirmesi boyunca kullanıcının başlangıçta istediği URL'yi korur, böylece başarılı kimlik doğrulamasından sonra SP kullanıcıyı başlangıçta erişmeye çalıştığı sayfaya geri yönlendirebilir.

← Tum araclara don