SAML 2.0

Security Assertion Markup Language

SAML 2.0 هو معيار SSO المؤسسي الأقدم والأكثر انتشاراً — يتبادل بيانات الهوية في XML signed. المفضل في بيئات Enterprise مثل SAP, Salesforce, و Microsoft.

جدول المحتويات

نظرة عامة
المفاهيم الأساسية
تدفق SSO
روابط SAML
Metadata Exchange
تكوين ميثاق كـ IdP

نظرة عامة

SAML 2.0 (OASIS Standard) هو بروتوكول SSO قائم على XML — يعتمد على trust بين Identity Provider (IdP) و Service Provider (SP). الفرق الجوهري عن OIDC:

الميزة	SAML 2.0	OpenID Connect
صيغة البيانات	XML	JSON / JWT
البنية	SOAP-heavy	REST-light
الأفضل لـ	التطبيقات المؤسسية القديمة	تطبيقات الويب والتطبيقات الحديثة
حجم Assertion	كبير (XML)	صغير (JWT)
Native browser flow	نعم (redirect/post)	نعم (redirect)
Support in Methaq	✅ full	✅ full

المفاهيم الأساسية

SAML Assertion

البيانات الأساسية — XML document يحتوي على claims هوية المستخدم (NameID, attributes, conditions, auth statement). تُوقعة IdP رققياً.

Service Provider (SP)

التطبيق الذي يعتمد على ميثاق للمصادقة. Example: Salesforce, SAP, internal web app.

Identity Provider (IdP)

الطرف الذي يصدر assertions. ميثاق يعمل كـ IdP في هذا السيناريو.

SAML Request (AuthnRequest)

رسالة XML يرسلها SP إلى IdP لطلب مصادقة مستخدم. ترسل عبر HTTP Redirect أو HTTP POST.

SAML Response

رسالة XML ترد من IdP إلى SP بعد المصادقة. تحتوي على SAML Assertion موقعة.

Metadata

XML document يصف كل طرف (entity ID, endpoints, certificates). يُستخدم لتأسيس trust بين SP و IdP.

تدفق SSO (SP-Initiated)

المستخدم يصل إلى التطبيق (SP)
يطلب المستخدم صفحة محمية على Service Provider.

SP يُنشئ AuthnRequest ويرسلها إلى IdP

GET /realms/{realm}/protocol/saml?
  SAMLRequest=Base64(SAML_XML_AuthnRequest)
  &RelayState=return_url

IdP (ميثاق) يُعرض صفحة تسجيل الدخول
إذا لم يكن المستخدم مسجلاً، تظهر صفحة تسجيل الدخول. يتم التحقق من كلمة المرور + MFA إن وُجد.

IdP يُنشئ SAML Response ويرجعها

POST /realms/{realm}/protocol/saml
Content-Type: application/x-www-form-urlencoded

SAMLResponse=Base64(SAML_Response_XML)
&RelayState=return_url

SP يتحقق من Assertion ويثبت Session
SP يتحقق من توقيع XML، يصحح audience restriction، يخرج NameID، ينشئ جلسة مستخدم محلية.

روابط SAML (Bindings)

SAML Bindings تحدد كيف تنتقل رسائل SAML عبر HTTP:

Binding	الاستخدام	كيفية النقل
HTTP Redirect	AuthnRequest (SP→IdP)	URL query string (GET with encoded SAML)
HTTP POST	SAML Response (IdP→SP)	HTML form auto-submit (POST body)
HTTP Artifact	بديل لـ POST	References instead of embedding
SOAP	STS interactions	HTTP POST with SOAP envelope

تبادل Metadata

ميثاق كـ Identity Provider (IdP)

# Methaq IdP Metadata
https://your-methaq-server/realms/{realm}/protocol/saml/descriptor

هذا الـ metadata يحتوي على:

entityID: معرف كيان ميثاق
KeyDescriptor: public key للتوقيع
SingleSignOnService: endpoint لتسجيل الدخول (HTTP-POST binding)
SingleLogoutService: endpoint لتسجيل الخروج

SP Metadata (للمصادقة)

Service Provider (مثل Salesforce) يوفر metadata خاصة به. تُستورد في ميثاق:

# Admin Console path:
# Clients → Create client → Client type: SAML
# Import metadata document from SP

تكوين ميثاق كـ IdP لـ SAML SP

اذهب إلى Clients ← Create client
Client Type: saml
Client ID: https://salesforce.methaq.org/app (SP Entity ID)
Name ID Format: email أو username
Valid Redirect URIs: https://salesforce.methaq.org/*
Import SP Metadata أو أدخل القيم يدوياً
من SAML signature keys: أدخل certificate الـ SP إذا طلب التوقيع

Signature Verification

# 确保 Response signed by IdP private key
# Ensure Assertion signed
# Ensure Destination matches expected URL

← OAuth 2.0 SSO ←