idp控制用户应用访问

A. 最近卡饭上有人开始玩AVG 的IDP 这个是什么东东 谁能科普一下

DP 的全称是 identity protection ，国内很多论坛翻译成身份保护。根据官方的描述， 是一款防恶意软件产品， 它使用行为技术防范各种恶意软件，如间谍软件、僵尸程序、身份盗用 。此外，它还针对新病毒提供零延时 保护。Identity Protection 会验证应用程序的行为，如果检测到可疑操作（例如将自身复制到系统文件夹、将数据写入另一个文件、创建注册表项、收集重要数据、将其保存到特定的文件中或将其上载到 Internet 等），你将获得通知。Identity Protection 不需要任何数据库更新即可检测恶意软件，因此它在特定情况下（阻止最新传播的恶意软件时）所提供的保护效果比防病毒应用程序要好。

而且据我所知，不同于很多的行为监控引擎，规则都硬编码在引擎中，如果需要更新则须比较长的周期，然而 IDP 不同， 其规则独立于引擎。位于欧州的病毒研究中心，会根据病毒的流行趋势，及时的更新 IDP 的引擎规则，这让 IDP 更加强大。同时 IDP 还可以跟 AVG 强大的病毒库互动，如果有文件被病毒码检测到，那么 IDP 会主动查询如此可以文件的相关信息，包括其释放的文件和释放它的文件，做到一站式的全面清理。

IDP ，以前只在收费版中提供的服务，即将到来的AVG2011中将包含IDP服务，IDP的到来可以说十分符合国内互联网用户的使用习惯

B. 如何使用saml2.0和adfs实施api与cli访问联合控制

AWS支持使用SAML（安全断言标记语言） 2.0进行身份联合。使用SAML，你可以配置你的AWS账户与你的身份提供商（IdP）整合。一旦配置，你组织的身份提供商就会对你的联合用户进行验证和授权，然后联合用户可以使用单点登录方法登录到AWS管理控制台。这不仅可以使你的用户免于记住另一个用户名和密码，也是简化了管理员的身份管理过程。当你的联合用户想访问AWS管理控制台，这种方法是有效的。但是当他们想使用AWS CLI或以程序方式调用AWS API时，将会怎么样呢？

在本文中，我将向你展示如何对你的用户实施联合的API与CLI访问。本帖中提供的举例使用了AWS Python SDK工具和一些附加的客户端侧的集成代码。如果你有用户需要这种访问控制，实施该方案可以使你对这些用户的管理轻松自如。
让我们从快速地了解我们的目标开始。

janedoe@Ubuntu64:/tmp$ ./samlapi.py
Username: AD\janedoe
Password: ****************

Please choose the role you would like to assume:
[ 0 ]: arn:aws:iam::012345678987:role/ADFS-Administrators
[ 1 ]: arn:aws:iam::012345678987:role/ADFS-Operators
Selection: 1

---------------------------------------------------------------
Your new access key pair has been stored in the aws configuration
file /home/janedoe/.aws/credentials under the saml profile.
Note that it will expire at 2015-05-26T17:16:20Z.
After this time you may safely rerun this script to refresh your
access key pair.
To use this credential call the aws cli with the --profile option
(e.g. aws --profile saml ec2 describe-instances).
---------------------------------------------------------------

Simple API example listing all s3 buckets:
[<Bucket: mybucket1>, <Bucket: mybucket2>, <Bucket: mybucket3>,
<Bucket: mybucket4>, <Bucket: mybucket5>]

从上面的输出结果中我们清楚地看到了什么？
1. 系统提示联合用户输入Active Directory（动态目录）证书。这些证书用来与配置的IdP进行比较以对用户进行验证和授权。
2. 系统检查返回的SAML断言，确定用户被授权承担的IAM（身份及访问管理）角色。用户选择了她期望的角色后，系统使用AWS STS（安全令牌服务）提取临时的安全证书。
3. 系统自动地将这些证书写入她本地的AWS证书文件，她可以开始发出AWS API或CLI调用指令。
4. 得到该样例，为你的组织对样例进行定制后，你就可以在保持AWS IAM服务提供的控制的同时，使用组织的证书来提高你的AWS API和CLI界面的能力和自动化程度。
本帖将会集中讲述如何使用微软动态目录联合服务（AD FS）。但是如果你正在使用其他供应商的同类产品，请不要感到失望因为基本的组件应该可以与其他常见的IdP配合运转的。
为了能够紧跟本帖的讲述，你必须已经：
入门
1. 使用你的组织证书将AD FS正确地与你的AWS账户进行了集成，以便能够访问控制台。如果你需要设置说明，请参考 Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0。
2. 已在本地工作站安装了新版本（2.36或更新）的AWS Python SDK工具。
3. 获取了最小限度的AWS证书文件（例如：~/.aws/credentials），并将文件中的如下内容调整到你首选的区域和输出格式。
重要提示：AWS访问密钥对并没有在上面的结构中配置因为最初的AWS STS调用是由值得信任的IdP返回的SAML断言进行验证的。所有后续的API/CLI调用都是由包含在AWS STS令牌中的密钥对进行验证的。想要获取更多信息，请参考 Giving AWS Console Access to Federated Users Using SAML
首先，你需要安装不属于Python核心发行版的两个模块，具体说，就是beautifulsoup4和requests-ntlm。有若干种方法可以安装着两个模块，但是包含在Python 2.7.9或更新版本中的pip工具，使模块安装变得很容易。你只需运行如下两个命令即可：

[default]
output = json
region = us-west-2
aws_access_key_id =
aws_secret_access_key =

首先运行下面的命令：

<u>pip install beautifulsoup4</u>

然后运行下面的命令：

pip install requests-ntlm
你应该会得到一些与如下截图类似的输出结果：

AWS联合过程利用IdP发起的登录方法。在最后的准备步骤中，你需要确定具体的被用来引发登录的URL。以基本的IdP引发登录的URL为起点（该URL就是你用来联合访问SAML依赖各方的URL，SAML依赖各方包括AWS管理控制台）。在本例中，我使用的是AD FS 2.0。在该版本中，URL的格式为ofhttps://<fqdn>/adfs/ls/IdpInitiatedSignOn.aspx。如果我将该URL输入浏览器的地址栏，我将会看到一个网站选择页面，

为了构造你所需的URL，将原来的IdP引发登录URL与查询字符串?loginToRp=urn:amazon:webservices连接。构造好的URL应呈现的形式是ofhttps://<fqdn>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices。保存该URL因为在后面的叙述中它将被称为idpentryurl变量。如果你将这个串联的URL输出浏览器的地址栏，你应该仍然可以实现AD FS IdP引发登录过程。但是，你绕过了网站选择页面，在验证完演练所需的URL后直接进入AWS管理控制台。如果感兴趣的话，你可以访问Microsoft’s website去查看关于查询字符串的文档。
重要提示：务必密切注意URL中主机名称的大写。AD FS在验证过程中会使用主机名称，任何在大小写方面的不匹配都会导致验证失败。
检查代码
既然你已经浏览了上面“入门”部分的步骤，你可以开始组合控制联合API与CLI访问的集成代码了。我将会详细地解释这一过程以便你可以跟随我的节奏。首先，让我们进行一些基本的导入和变量设置。

#!/usr/bin/python

import sys
import boto.sts
import boto.s3
import requests
import getpass
import ConfigParser
import base64
import xml.etree.ElementTree as ET
from bs4 import BeautifulSoup
from os.path import expanser
from urlparse import urlparse, urlunparse
from requests_ntlm import HttpNtlmAuth

##########################################################################
# Variables

# region: The default AWS region that this script will connect
# to for all API calls
region = 'us-west-2'

# output format: The AWS CLI output format that will be configured in the
# saml profile (affects subsequent CLI calls)
outputformat = 'json'

# awsconfigfile: The file where this script will store the temp
# credentials under the saml profile
awsconfigfile = '/.aws/credentials'

# SSL certificate verification: Whether or not strict certificate
# verification is done, False should only be used for dev/test
sslverification = True

# idpentryurl: The initial URL that starts the authentication process.
idpentryurl = 'https://<fqdn>/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices'

##########################################################################

将上述代码中的变量调整为针对你的具体的区域（如us-west-2，us-east-1等等）和格式喜好（例如json，文本，或表格），然后插入本帖中上一部分变量idpentryurl的值。
基本环境搭建起来后，提示用户，从标准输入中检索用户的证书。在本帖的后面我将会讨论我们是如何支持其他的证书形式的。

# Get the federated credentials from the user
print "Username:",
username = raw_input()
password = getpass.getpass()
print ''

位于第一行打印语句“Username”后面的逗号可能看起来像是一个缺陷，实际上它是Python为了防止第一行打印语句添加换行符而使用的小技巧。你也将会注意到getpass()这一方法的使用，这一方法是为了防止密码被显示在输出结果中。
下一步，我们使用Python请求模块组合验证信息，用公式表示向IdP发送的HTTPS请求，正如下面的片段所示。假设验证成功，AD FS返回的响应消息会包含SAML断言。

C. 如何让自己的app能被调用去打开其他app的文档请参考

用apkplug框架吧,不用android:sharedUserId 可以直接运行和共用未安装的apk。

D. ISB，USB，ISP，IDP，ASP分别是什么

ISB（板上集成系统）是三洋电机2001年发表的可高密度形成多个IC和被动元件模块的技术。

USB是英文Universal Serial BUS的缩写，中文含义是“通用串行总线”。

ISP的英文是Internet Service Provider，翻译为互联网服务提供商，即向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。

IDP分为两个部分:防火墙和网络:
防火墙::System,入侵侦测防御系统
IDP兼具IDS(Intrusion Detection System,入侵侦测系统)以及IPS(Intrusion Prevention System,入侵防御系统)等两大功能.而要让IDP扮演好IPS的角色,IDP必须要能同时具备:
深层检测(deep packet inspection)
串连模式(in-line mode)
即时侦测(real-time detection)
主动防御(proactive prevention)
以及线速运行(wire-line speed)
等五项关键因素,缺一不可

网络::IDP
来自ITwiki，开放的信息技术大网络
IDP：Internet Datagram Protocol（数据报协议）
Internet 数据报协议（IDP）是一种简单的不可靠数据报协议，主要用来为网际协议（IP）族支持 SOCK_DGRAM 抽象概念。IDP 套接字（socket）面向无连接的，通常和 sendto 与 recvfrom 子程序一起使用。而连接子程序也可用来为以后的数据包固定目的地，在这种情况下，可以运用 recv 或 read 子程序以及 send 或 write 子程序。

ASP是Active Server Page的缩写，意为“活动服务器网页”。ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互，是一种简单、方便的编程工具。ASP的网页文件的格式是.asp，现在常用于各种动态网站中。

够简洁了吧

E. App Store上架被拒3.2.2 商业模式不合符，该怎么办

“我不怕别的，只担心我们的事有一天被人家发现了。”

F. sso通信超时什么意思

简介

SSO是单点登录的简称，常用的SSO的协议有两种，分别是SAML和OAuth2。本文将会介绍两种协议的不同之处，从而让读者对这两种协议有更加深入的理解。

SAML

SAML的全称是Security Assertion Markup Language， 是由OASIS制定的一套基于XML格式的开放标准，用在身份提供者（IdP）和服务提供者 (SP)之间交换身份验证和授权数据。

SAML的一个非常重要的应用就是基于Web的单点登录（SSO）。

在SAML协议中定义了三个角色，分别是principal：代表主体通常表示人类用户。identity provider (IdP)身份提供者和service provider (SP)服务提供者。

IdP的作用就是进行身份认证，并且将用户的认证信息和授权信息传递给服务提供者。

SP的作用就是进行用户认证信息的验证，并且授权用户访问指定的资源信息。

接下来，我们通过一个用SAML进行SSO认证的流程图，来分析一下SAML是怎么工作的。

上图中User Agent就是web浏览器，我们看一下如果用户想请求Service Provider的资源的时候，SAML协议是怎么处理的。

• 用户通过User Agent请求Service Provider,比如：

• http://sp.flydean.com/myresource



SP将会对该资源进行相应的安全检查，如果发现已经有一个有效的安全上下文的话，SP将会跳过2-7步，直接进入第8步。

• 如果在第一步的时候，SP并没有找到相应的有效安全上下文的话，则会生成对应的SAMLRequest，并将User Agent重定向到IdP：

• 302 Redirect


• Location: https://idp.flydean.com/SAML2/SSO/Redirect?SAMLRequest=request&RelayState=token



RelayState是SP维护的一个状态信息，主要用来防止CSRF攻击。

其中这个SAMLRequest是用Base64编码的 ，下面是一个samlp:AuthnRequest的例子：

xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="aaf23196-1773--474a-fe114412ab72"
Version="2.0"
IssueInstant="2020-09-05T09:21:59Z"
AssertionConsumerServiceIndex="0"
="0">
https://sp.flydean.com/SAML2saml:Issuer>
AllowCreate="true"
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/>
samlp:AuthnRequest>


为了安全起见，SAMLRequest还可以使用SP提供的签名key来进行签名。

• User agent将会发送一个get请求到IdP的SSO server :

• GET /SAML2/SSO/Redirect?SAMLRequest=request&RelayState=token HTTP/1.1


• Host: idp.flydean.com



IdP收到这个AuthnRequest请求之后，将会进行安全验证，如果是合法的AuthnRequest，那么将会展示登录界面。

• 用户可以输入用户名密码进行登录。登录成功之后，IdP将会返回一个XHTML form：



• ...


• form>



这个form中包含了SAMLResponse信息，SAMLResponse中包含了用户相关的信息。

同样的SAMLResponse也是使用Base64进行编码过的 。

xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="identifier_2"
InResponseTo="identifier_1"
Version="2.0"
IssueInstant="2020-09-05T09:22:05Z"
Destination="https://sp.flydean.com/SAML2/SSO/POST">
https://idp.flydean.com/SAML2saml:Issuer>
Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
samlp:Status>
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="identifier_3"
Version="2.0"
IssueInstant="2020-09-05T09:22:05Z">
https://idp.flydean.com/SAML2saml:Issuer>

我们可以看到samlp:Response中包含有saml:Assertion信息。

• user agent 收到XHTML form之后将会提交该form给SP。

• SP中的assertion consumer service将会处理这个请求，创建相关的安全上下文，并将user agent重定向到要访问的资源页面。

• user agent再次请求SP资源。

• 因为安全上下文已经创建完毕，SP可以直接返回相应的资源，不用再次到IdP进行认证。

我们可以看到上面的所有的信息交换都是由前端浏览器来完成的，在SP和IdP之间不存在直接的通信。

这种全部由前端来完成信息交换的方式好处就是协议流非常简单，所有的消息都是简单的GET或者POST请求。

如果为了提高安全性，也可以使用引用消息。也就是说IdP返回的不是直接的SAML assertion，而是一个SAML assertion的引用。SP收到这个引用之后，可以从后台再去查询真实的SAML assertion，从而提高了安全性。

SAML的缺点

SAML协议是2005年制定的，在制定协议的时候基本上是针对于web应用程序来说的，但是那时候的web应用程序还是比较简单的，更别提对App的支持。

SAML需要通过HTTP Redect和HTTP POST协议来传递用户信息，并且通常是通过HTML FORM的格式来进行数据的提交的。如果应用程序并不是web应用，比如说是一个手机App应用。

这个手机APP应用的启动链接是 my-photos://authenticate ， 但是手机app可能并不能获取到Http POST的body内容。他们只能够通过URL来进行参数的传递。

这就意味着，在手机APP中不能够使用SAML。

当然，要想工作也可以，不过需要进行一些改造。比如通过第三方应用对POST消息进行解析，然后将解析出来的SAMLRequest以URL参数的形式传递给APP。

另一种方法就是使用OAuth2.

OAuth2

因为Oauth2是在2012年才产生的。所以并没有那么多的使用限制。我们可以在不同的场合中使用OAuth2。

我们先来看一下OAuth2中授权的流程图：

一般来说OAuth2中有4个角色。

resource owner：代表的是资源的所有者，可以通过提供用户名密码或者其他方式来进行授权。通常来是一个人。

resource server：代表的是最终需要访问到资源的服务器。比如github授权之后获取到的用户信息。

client：用来替代resource owner来进行交互的客户端。

authorization server：用来进行授权的服务器，可以生成相应的Access Token。

整个流程是这样的：

Client向resource owner发起一个授权请求，resource owner输入相应的认证信息，将authorization grant返回给client。

client再将获取到的authorization grant请求授权服务器，并返回access token。

client然后就可以拿着这个access token去请求resource server，最后获取到受限资源。

OAuth2的缺点

OAuth2并没有指定Resource Server怎么和Authorization Server进行交互。也没有规定返回用户信息的内容和格式。这些都需要实现方自己去决定。

OAuth2默认是在HTTPS环境下工作的，所以并没有约定信息的加密方式。我们需要自己去实现。

最后，OAuth2是一个授权协议，而不是认证协议。对于这个问题，其实我们可以考虑使用OpenID Connect协议。因为OpenID Connect就是基于OAuth2实现的，并且添加了认证协议。

OpenID Connect简称为OIDC，已成为Internet上单点登录和身份管理的通用标准。它在OAuth2上构建了一个身份层，是一个基于OAuth2协议的身份认证标准协议。

OAuth2实际上只做了授权，而OpenID Connect在授权的基础上又加上了认证。

OIDC的优点是：简单的基于JSON的身份令牌（JWT），并且完全兼容OAuth2协议。

两者的对比

在SAML协议中，SAML token中已经包含了用户身份信息，但是在OAuth2，在拿到token之后，需要额外再做一次对该token的校验。

但是另一方面，OAuth2因为需要再做一次认证，所以可以在 Authorization Server 端对token进行无效处理。

CAS简介

做过SSO的应该都听说过CAS。CAS的全称是Central Authentication Service，是一个企业级的开源的SSO认证框架。

CAS内部集成了CAS1,2,3，SAML1,2，OAuth2,OpenID和OpenID Connect协议，非常的强大。我们会在后面的文章中介绍CAS的使用。

xmlns:ds="http://www.w3.org/2000/09/xmldsig#">...ds:Signature>
Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">
3f7b3dcf-1674-4ecd-92c8-1544f346baf8
saml:NameID>
Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
InResponseTo="identifier_1"
Recipient="https://sp.flydean.com/SAML2/SSO/POST"
NotOnOrAfter="2020-09-05T09:27:05Z"/>
saml:SubjectConfirmation>
saml:Subject>
NotBefore="2020-09-05T09:17:05Z"
NotOnOrAfter="2020-09-05T09:27:05Z">
https://sp.flydean.com/SAML2saml:Audience>
saml:AudienceRestriction>
saml:Conditions>
AuthnInstant="2020-09-05T09:22:00Z"
SessionIndex="identifier_3">
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
saml:AuthnContextClassRef>
saml:AuthnContext>
saml:AuthnStatement>
saml:Assertion>
samlp:Response>

G. avast新版idp要关闭吗

亲，这需要看实际情况来定，如果用户认为IDP误报较高 可以关闭这项功能，反之可以保持开启。