一文搞懂SAML协议书

一文搞懂SAML协议书1.甲方（买方/出租方/委托方）：

甲方名称：ABC科技有限公司

甲方地址：中国北京市朝阳区光华路1号ABC大厦1001室

甲方法定代表人/负责人：张三

甲方联系方式/p>

2.乙方（卖方/承租方/服务提供方）：

乙方名称：XYZ信息技术有限公司

乙方地址：中国上海市浦东新区张江高科技园区科苑路88号XYZ科技园B座2001室

乙方法定代表人/负责人：李四

乙方联系方式/p>

协议简介：

鉴于甲方ABC科技有限公司（以下简称“甲方”）在数字化转型过程中，为提升企业内部信息系统间的单点登录（SingleSign-On,SSO）能力及身份认证安全性，需引入先进的身份管理与访问控制解决方案；

鉴于乙方XYZ信息技术有限公司（以下简称“乙方”）在身份与访问管理领域拥有丰富的技术积累和成熟的SAML（SecurityAssertionMarkupLanguage）协议实施经验，能够为甲方提供符合国际标准的SAML协议集成服务；

基于双方在平等自愿、诚实信用的基础上，经友好协商，甲方委托乙方提供SAML协议咨询服务及实施服务，双方达成如下协议。本协议旨在明确双方合作背景、合作前提及合作目标，确保SAML协议在甲方信息系统中的顺利部署与应用，以实现跨系统的无缝身份认证与权限管理，提升甲方信息安全管理水平及运营效率。

本协议的签订与履行，系双方基于各自业务发展需求及技术能力优势形成的合作关系，双方均确认已充分了解本协议项下权利义务，并承诺按照约定履行各自责任。甲方通过本协议获得乙方提供的SAML协议技术支持，乙方通过本协议为甲方提供专业服务并获得相应报酬，双方合作内容涉及甲方信息系统安全及业务连续性的重要环节，故双方均应严格遵循本协议约定，确保合作目标的实现。

第一条协议目的与范围

本协议的主要目的在于，由乙方为甲方提供SAML协议相关的技术咨询、方案设计、系统实施及后续支持服务，使甲方能够通过SAML协议实现其业务系统（包括但不限于甲方人力资源系统、财务管理系统、客户关系管理系统等）与乙方提供的身份认证服务（或第三方身份提供商服务）之间的安全、高效的单点登录集成，从而提升甲方用户访问不同系统的便捷性，增强身份认证的安全性，并降低因多系统登录认证带来的管理成本与潜在风险。本协议涉及的具体内容包括但不限于：SAML协议的技术评估与需求分析、SAML元数据交换配置、断言格式与传输安全设置、身份提供商（IdP）与服务提供商（SP）的集成开发与测试、用户属性映射配置、协议符合性验证、用户培训以及协议生效后的基础技术支持等。

第二条定义

在本协议中，除非上下文另有明确说明，下列术语具有以下含义：

1.SAML协议：指SecurityAssertionMarkupLanguage（安全断言标记语言）协议，一种基于XML的标准协议，用于在身份提供者（IdP）和服务提供者（SP）之间交换用户身份认证信息和属性信息。

2.身份提供者（IdP）：指负责维护用户身份信息并提供SAML断言给服务提供者的实体。

3.服务提供者（SP）：指依赖身份提供者进行用户身份认证，并接收SAML断言以允许用户访问其服务的实体。

4.元数据：指描述IdP或SP配置信息的XML数据，包括实体ID、断言消费服务URL、安全约束等。

5.单点登录（SSO）：指用户只需进行一次身份认证，即可访问多个相互信任的应用系统的能力。

6.断言：指由IdP生成，包含用户身份信息或属性信息的SAML消息。

7.属性：指描述用户身份或相关特征的信息，例如姓名、电子邮件地址等。

第三条双方权利与义务

1.甲方的权力与义务：

（1）甲方有权要求乙方按照本协议约定，提供专业、及时的SAML协议相关服务，并确保服务成果符合行业标准和甲方的基本业务需求。

（2）甲方有权对乙方提供的服务进行监督和验收，并就服务过程中发现的问题提出改进建议。

（3）甲方应向乙方提供必要的业务需求说明、现有系统架构信息、相关接口文档及必要的内部测试环境访问权限，以确保乙方能够准确理解甲方需求并完成服务。

（4）甲方应指定专门的项目接口人或团队成员，负责与乙方进行沟通协调，及时响应乙方在服务过程中提出的需求或疑问。

（5）甲方应按照本协议第四条的约定，按时足额支付乙方提供的服务费用。

（6）甲方应对其提供的用于SAML协议集成的系统用户名、密码等敏感信息承担保管责任，并确保其内部用户遵守相关安全操作规程。

（7）甲方应配合乙方完成服务过程中必要的测试工作，并在测试通过后确认服务成果。

（8）甲方应保证其提供的业务数据和系统环境符合乙方服务的基本要求，如因甲方原因导致服务无法正常进行，甲方应承担相应责任。

（9）甲方有权在协议约定的服务期限和范围内，要求乙方提供必要的技术支持，以保障SAML集成后的系统稳定运行。

（10）甲方应遵守国家及地方关于数据安全和个人信息保护的法律法规，确保在SAML协议应用过程中，用户身份信息及相关属性得到妥善处理。

2.乙方的权力与义务：

（1）乙方有权按照本协议约定收取服务费用，并有权要求甲方按时支付。

（2）乙方应确保其提供的SAML协议咨询服务及实施服务基于成熟、可靠的技术方案，并符合SAML2.0（或双方约定的其他版本）协议标准。

（3）乙方应组建具备相应资质的专业技术服务团队，负责理解甲方需求、设计SAML集成方案、进行代码开发与配置、实施系统部署及测试验收等工作。

（4）乙方应向甲方提供详细的服务方案设计文档、接口文档、测试报告及用户操作手册等相关资料，并确保文档内容清晰、准确。

（5）乙方应严格按照本协议约定及双方确认的方案，按时完成SAML协议的集成服务，并确保集成后的系统满足单点登录、身份认证安全等核心功能要求。

（6）乙方应配合甲方完成服务成果的测试工作，并根据甲方的合理意见进行必要的调整和优化，直至甲方验收合格。

（7）乙方应保证其在服务过程中获取的甲方商业秘密和技术信息严格保密，未经甲方书面同意，不得向任何第三方泄露或用于本协议以外的目的。

（8）乙方应向甲方提供协议约定范围内的技术支持服务，包括但不限于解答甲方在使用过程中遇到的问题、提供必要的技术指导等，确保SAML集成系统的稳定运行。

（9）乙方应确保其提供的软件或服务不存在侵犯第三方知识产权的情况，并承担因自身服务缺陷导致甲方系统受损的赔偿责任（但非因甲方原因或不可抗力造成的损失除外）。

（10）乙方应向甲方提供符合约定的SAML协议实施成果，并保证其服务成果的质量，能够支持甲方实现预期的单点登录及身份管理目标。乙方应遵循行业标准进行开发与配置，确保系统的兼容性与扩展性。

第四条价格与支付条件

本协议项下乙方提供的服务费用总额为人民币肆拾伍万元整（￥450,000.00元），该费用包含乙方为完成本协议第一条所述服务内容所发生的一切费用，具体包括但不限于需求分析、方案设计、开发实施、测试验证、用户培训以及协议约定范围内的技术支持服务费。

甲方应按照以下方式向乙方支付服务费用：

（1）首付款：本协议签署之日起10个工作日内，甲方向乙方支付服务费用总额的50%，即人民币贰拾贰万伍仟元整（￥225,000.00元）。

（2）尾款：乙方完成本协议约定的全部服务内容，并通过甲方最终验收后10个工作日内，甲方向乙方支付服务费用总额剩余的50%，即人民币贰拾贰万伍仟元整（￥225,000.00元）。

甲方支付上述款项时，应将款项汇入乙方指定的以下银行账户：

开户名称：XYZ信息技术有限公司

开户银行：中国工商银行上海张江支行

银行账号：622202**********123456

乙方应在收到每一笔款项后，向甲方开具等额的增值税专用发票或等额的增值税普通发票，发票内容应明确为“SAML协议咨询服务及实施服务费”。

如甲方因故未能按时支付本协议约定的款项，每逾期一日，应按逾期支付金额的万分之五向乙方支付违约金，逾期超过30日，乙方有权暂停服务或解除本协议，并要求甲方支付全部未付款项及相应违约金。

第五条履行期限

本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为自协议生效之日起12个月。

乙方应在本协议生效之日起30个工作日内完成需求分析及方案设计，并向甲方提交详细的服务方案文档供甲方审核。

甲方应在收到乙方提交的服务方案文档后15个工作日内完成审核并给予书面反馈，如有修改意见，应在此期限内提出；甲方逾期未反馈，视为同意乙方提交的方案。

乙方应在甲方确认服务方案后60个工作日内完成SAML协议的集成开发、配置及初步测试工作。

甲方应在乙方完成初步测试后20个工作日内配合乙方进行联合测试及问题修复，并最终完成服务成果的验收工作。

本协议约定的服务内容应于协议生效之日起180日内完成，最晚不晚于协议生效之日起第180天。

协议生效后，在服务成果验收合格的前提下，乙方应在协议有效期内继续提供本协议约定的技术支持服务。协议有效期届满前30日，如甲方需要继续获得乙方提供的技术支持服务，双方应另行协商签订补充协议确定后续服务事宜。

第六条违约责任

1.甲方违约责任：

（1）甲方未按本协议第四条约定的支付条件按时足额支付服务费用的，除应按第四条第五款约定支付逾期违约金外，若逾期支付超过30日，乙方有权解除本协议，并要求甲方支付全部未付款项、逾期违约金以及乙方因此遭受的直接经济损失（包括但不限于乙方为完成本项目已投入的人员成本、差旅费用等）。甲方解除合同的，已收取的费用不予退还。

（2）甲方未能按照本协议第三条第（3）款约定，及时提供必要的信息、资料或配合乙方工作，导致项目进度延误或乙方无法按约定完成服务的，每延误一日或因甲方原因导致乙方工作受阻，甲方应向乙方支付服务费用总额千分之五的违约金，但累计违约金不超过服务费用总额的10%。因甲方原因导致项目最终无法完成的，甲方应支付乙方已完成工作量对应的服务费用，并承担乙方因此遭受的全部损失。

（3）甲方未按本协议第三条第（5）款指定有效的项目接口人，或接口人变更未及时通知乙方，导致沟通不畅或延误项目进度的，甲方应承担因此产生的一切不利后果，并按本条第一款第（2）项约定承担违约责任。

（4）甲方在验收过程中无正当理由拒绝接收或拖延验收已符合协议约定服务标准的成果，自乙方要求验收之日起超过30日未完成验收的，视为甲方最终验收合格。若甲方明确表示不验收或明确提出反对意见但无合理依据，甲方仍需支付相应的服务费用，并承担乙方因此遭受的直接损失。

（5）甲方违反本协议第三条第（6）款关于信息保管的约定，导致信息泄露或系统受损，并给乙方造成损失的，甲方应承担全部赔偿责任。

（6）甲方未遵守本协议第三条第（10）款关于数据安全与个人信息保护的约定，引发法律纠纷或行政处罚，导致乙方被追究责任的，甲方应承担乙方因此遭受的全部法律责任和经济损失。

2.乙方违约责任：

（1）乙方未能按照本协议第五条约定的期限完成服务内容，非因甲方原因或本协议不可抗力条款所述情形，每逾期一日，应按当期应付未付服务费用总额的千分之五向甲方支付违约金。逾期超过30日，甲方有权解除本协议，乙方除应支付至解除之日的违约金外，还应退还甲方已支付但尚未提供对应服务的款项，并赔偿甲方因此遭受的直接经济损失。

（2）乙方提供的服务成果（包括软件、文档、配置等）存在严重缺陷，经甲方指出后合理期限内未能修正，或修正后仍无法满足本协议第一条约定的核心功能（如单点登录无法正常工作、身份认证失败率过高无法解决等）要求的，甲方有权要求乙方采取补救措施，直至达到约定标准。若乙方无法在甲方给予的合理期限内（通常不超过30日）完成有效补救，甲方有权解除本协议，乙方应退还甲方已支付的全部服务费用，并赔偿甲方因此遭受的直接经济损失。

（3）乙方在服务过程中，因自身技术能力不足或工作疏忽，导致甲方现有系统或数据损坏、丢失，或因乙方提供的软件或服务存在侵权问题而引起第三方索赔的，乙方应承担全部赔偿责任，包括但不限于修复费用、律师费、诉讼费、赔偿金等，直至问题彻底解决。但乙方承担赔偿责任后，有权向有故意或重大过失的第三方追偿。

（4）乙方违反本协议第三条第（5）款关于保密约定的，应向甲方支付违约金人民币伍拾万元整（￥500,000.00元），并承担由此给甲方造成的一切损失；若该违约行为构成犯罪的，乙方还应承担相应的刑事责任。

（5）乙方未能按照本协议第四条约定的发票开具要求及时提供合法有效的发票，影响甲方税务处理的，乙方应承担由此给甲方带来的不便和可能产生的罚款，并应在甲方提出要求后立即补开。

（6）乙方未按本协议第五条约定的支持期限和范围提供技术支持的，属于违约行为，甲方有权要求乙方继续履行并支付相应的违约金（具体标准可在后续支持条款中细化），但此违约金不应影响甲方根据本协议其他条款（如验收不合格解除合同）获得赔偿的权利。

3.违约金不足以弥补损失的，违约方还应赔偿守约方因此遭受的全部直接经济损失。双方均有违约行为的，应各自承担相应的违约责任。因不可抗力导致的违约，根据不可抗力条款具体处理。

第七条不可抗力

1.定义：不可抗力是指双方在签订本协议时不能预见、对其发生和后果不能避免并不能克服的事件。不可抗力包括但不限于地震、台风、洪水、火灾、战争、动乱、政府行为（如法律法规的变更、税收政策的调整、行政管理命令等）、流行病疫情、网络攻击或大规模服务中断、以及因地震、台风、洪水、火灾等自然灾害导致的电力、通讯、网络等基础设施中断，且该中断非因乙方设备或系统维护不当所致。

2.通知义务：任何一方因不可抗力事件不能履行或不能完全履行本协议义务时，应在不可抗力事件发生后7日内书面通知对方，说明不可抗力事件的情况、影响以及预计持续的时间。通知内容应尽可能详细，以便对方评估事件影响并采取相应措施。

3.责任免除：发生不可抗力事件后，受影响的一方可以根据不可抗力事件对其履行义务的影响程度，部分或全部免除履行本协议的责任。但该方应采取合理措施尽快消除或减轻不可抗力事件的影响，并在不可抗力事件消除后立即恢复履行本协议的义务。

4.协议解除：如果不可抗力事件持续超过30日，或连续发生多次且累计影响履行超过60日，导致本协议的主要目的无法实现的，双方均有权书面通知对方解除本协议。解除协议后，双方应互相返还已收受的款项（如有），并可根据实际情况协商处理未完成的服务内容及费用。因不可抗力解除协议的，双方互不承担违约责任。

5.不可抗力证明：主张不可抗力的一方应向对方提供不可抗力事件的有效证明文件，如政府公告、新闻报道、官方机构的证明等。若双方对不可抗力事件的范围或影响存在争议，应友好协商解决；协商不成的，可提交本协议约定的争议解决机构进行裁决。

第八条争议解决

1.争议类型：本协议的效力、解释、履行、违约及其解决均适用中华人民共和国法律。因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商的方式解决；协商应指派双方授权代表进行，并尝试在协议签署地（即北京市朝阳区）达成书面和解协议。

2.协商不成处理：如果在协商开始后30日内未能就争议解决达成一致，任何一方均有权采取以下第（一）项或第（二）项方式解决：

（一）提交仲裁：将争议提交至中国国际经济贸易仲裁委员会（CIETAC），按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁地点为北京。仲裁语言为中文。双方应各自指定一名仲裁员，并共同指定或委托仲裁委员会主席指定一名首席仲裁员，组成三名仲裁员的仲裁庭对争议进行审理。仲裁裁决是终局的，对双方均有约束力。仲裁费用由败诉方承担，或由仲裁庭酌情决定分担。

（二）诉讼：向有管辖权的人民法院提起诉讼。甲方所在地（北京市朝阳区）或乙方所在地（上海市浦东新区）的人民法院均有管辖权。诉讼过程中，任何一方变更诉讼请求、提出反诉或提起上诉，不影响另一方向原审人民法院申请财产保全。

3.专属管辖与协议效力：本协议双方确认，上述争议解决方式中的仲裁条款具有优先性。除非双方明确书面同意将争议提交诉讼，否则任何一方就本协议项下争议提起诉讼的，均视为自动放弃仲裁选择权。仲裁裁决或法院判决生效后，一方不履行裁决或判决的，另一方可以依照中华人民共和国相关法律规定向人民法院申请强制执行。

4.保密：双方就争议解决过程中的信息交流（包括但不限于协商内容、仲裁程序材料、诉讼文件等）均应承担保密义务，未经对方书面同意，不得向任何第三方披露，但法律法规另有规定或为寻求法律救济所必需者除外。

5.争议解决不影响合同其他部分：任何一方就本协议某一部分提起争议解决，不影响双方依据本协议其他条款继续履行或寻求救济的权利。

第九条其他条款

1.通知：本协议项下的所有通知、请求、要求或其他通讯均应以书面形式（包括但不限于信函、传真、电子邮件）发送至本协议首页载明的地址、传真号码或电子邮箱。任何一方变更联系方式，应至少提前10日以书面形式通知对方。以电子邮件方式发送的，发出时视为送达；以传真方式发送的，发送成功时视为送达；以邮寄方式发送的，寄出后5日视为送达。法律文件或重要通知应采用挂号信或快递服务发送。

2.协议变更：对本协议的任何修改或补充，均须经双方授权代表签署书面文件后方能生效。任何口头约定或非书面形式的变更均不具法律效力。

3.完整协议：本协议及其附件构