保證Web服務(wù)安全的SAML

AMTeam.org

保證Web服務(wù)安全的SAML

安全聲明標(biāo)記語言(Security Assertion Markup Language，SAML)是一種實(shí)現(xiàn)Web服務(wù)安全產(chǎn)品之間互操作的建議標(biāo)準(zhǔn)。SAML可以保證端到端、機(jī)構(gòu)內(nèi)部以及從企業(yè)到企業(yè)的安全性，具有成為互操作性標(biāo)準(zhǔn)的潛力。即將得到“促進(jìn)結(jié)構(gòu)化信息標(biāo)準(zhǔn)組織”批準(zhǔn)的SAML 1.0能夠與XML和簡單對象訪問協(xié)議(SOAP)配合使用。隨著企業(yè)越來越多地在Web服務(wù)環(huán)境中部署接入管理解決方案和其他安全產(chǎn)品，SAML開始表現(xiàn)出強(qiáng)大的威力。

SAML 1.0定義了安全域與策略域之間的基于SOAP的互動，支持Web一次登錄(SSO)、認(rèn)證和授權(quán)。SAML 1.0定義了請求和回答信息，安全域交換這些信息來保證認(rèn)證決定、授權(quán)決定和屬于特定用戶與資源的屬性。SAML 1.0還定義了認(rèn)證權(quán)威機(jī)構(gòu)、屬性權(quán)威機(jī)構(gòu)、策略決定點(diǎn)和策略執(zhí)行點(diǎn)等功能性實(shí)體。

在具有SAML功能的Web SSO環(huán)境中，用戶可以通過ID/口令等認(rèn)證技術(shù)登錄到主域或源域中。源域利用包含SAML“認(rèn)證聲明”和“屬性聲明”的信息，向一個(gè)或多個(gè)目的域發(fā)送認(rèn)證決定以及為這一決定提供安全環(huán)境的其他信息。

SAML環(huán)境

在支持Web SSO和瀏覽器/ artifact的最基本的SAML 1.0互操作性環(huán)境中，用戶可以通過以下操作實(shí)現(xiàn)與具有SAML功能的Web網(wǎng)站互動。

● 用戶的瀏覽器通常通過HTTP/安全套接層(SSL)訪問源站點(diǎn)(站點(diǎn)起到SAML認(rèn)證管理機(jī)構(gòu)的作用);

● 源站點(diǎn)要求瀏覽器提供用戶ID和口令；

● 瀏覽器通過輸入用戶ID和口令，回答源站點(diǎn)的詢問；

● 源站點(diǎn)調(diào)用外部認(rèn)證服務(wù)器(如輕型目錄訪問協(xié)議目錄)認(rèn)證瀏覽器；

● 瀏覽器通過點(diǎn)擊源站點(diǎn)上的通用資源標(biāo)識(URI)，請求保存在目的服務(wù)器上的特定資源，從而重新定向到源站點(diǎn)的“站點(diǎn)間傳輸服務(wù)”URL上；

● 源站點(diǎn)保持會話并生成一個(gè)生存期暫短的SAML認(rèn)證，來聲明一個(gè)事件已經(jīng)發(fā)生(根據(jù)認(rèn)證聲明上的條件以及被請求的目的服務(wù)和資源定義的策略);

● 源站點(diǎn)將聲明信息保存在本地緩存中；

● 源站點(diǎn)利用SSL將一個(gè)包含SAML artifact(一種8字節(jié)Base64串)的URI返回給瀏覽器，這個(gè)附加的SAML artifact指向認(rèn)證聲明并將瀏覽器改向連接到請求的目的站點(diǎn)和資源；

● 目的站點(diǎn)使用SAML artifact從源站點(diǎn)請求/索取這個(gè)引用的認(rèn)證聲明(通常通過SSL會話);

● 目的站點(diǎn)保持會話，解析/驗(yàn)證認(rèn)證聲明信息，并批準(zhǔn)瀏覽器對請求資源的訪問。

工作原理

作為一項(xiàng)為Web服務(wù)提供安全保護(hù)的建議標(biāo)準(zhǔn)，SAML的工作原理如圖所示。

1、最終用戶的瀏覽器訪問認(rèn)證服務(wù)器，認(rèn)證服務(wù)器詢問用戶ID和口令。

2、最終用戶輸入ID和口令。認(rèn)證服務(wù)器檢查LDAP目錄，然后認(rèn)證最終用戶。

3、最終用戶從目的/Web服務(wù)器請求資源，認(rèn)證服務(wù)器開始與目的服務(wù)器的一次會話。

4、認(rèn)證服務(wù)器給最終用戶發(fā)送URI，最終用戶的瀏覽器被指向URI，URI將最終用戶聯(lián)接到Web服務(wù)。

同任何標(biāo)準(zhǔn)一樣，檢驗(yàn)SAML 1.0能否成為真正標(biāo)準(zhǔn)的決定因素在于是市場的接受程度以及它能否推動Web服務(wù)發(fā)展。為了使SAML真正成為標(biāo)準(zhǔn)，Web安全解決方案廠商正在認(rèn)真解決支持不同SAML 1.0產(chǎn)品互操作性所面臨的許多技術(shù)問題。

發(fā)布：2007-03-25 10:36 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：

1重慶OA快博

2西安OA快博

3北京OA快博

4廣州OA快博

5深圳OA快博

6南京OA快博

7杭州OA快博

8鄭州OA快博

9太原OA快博

10天津OA快博

11長春OA快博

12福州OA快博

相關(guān)文章：

1企業(yè)知識門戶的IT實(shí)現(xiàn)

2日本Sun挑頭成立CCA開展Web服務(wù)

3泛普OA辦公系統(tǒng)在上海發(fā)布項(xiàng)目管理軟件系統(tǒng)價(jià)值

4證據(jù)顯示微軟曾阻礙Sun參加網(wǎng)絡(luò)服務(wù)標(biāo)準(zhǔn)組織

5Sun ONE完美Web服務(wù)

6Web服務(wù)安全技術(shù)大比拼

7IBM推出業(yè)界首款Web安全服務(wù)軟件

8實(shí)時(shí)企業(yè)離不開存儲管理

9Sun推出免費(fèi)軟件欲與微軟爭網(wǎng)絡(luò)天下

10善用你的知識財(cái)產(chǎn)

11WEB服務(wù)的價(jià)值鏈

12泛普（上海）OA辦公軟件2014年中期率先發(fā)布基礎(chǔ)功能模塊

13J2EE和.Net:能共處嗎？

14什么是知識整合?（by AMT 胡鵬編譯）

15第二代Web服務(wù)展望

16中低端價(jià)格兼顧中高端應(yīng)用技術(shù)的泛普軟件OA是不錯(cuò)的選擇

17網(wǎng)絡(luò)服務(wù)也稱得上是一場革命

18評論：企業(yè)的“網(wǎng)絡(luò)服務(wù)”時(shí)代到來了？

19異中有同同中有異

20專訪鮑爾默：微軟要做網(wǎng)絡(luò)服務(wù)霸主

21讓“內(nèi)容”成為價(jià)值

22泛普軟件移動OA創(chuàng)新了業(yè)界全新“企業(yè)OA辦公模式”

23呼喚獨(dú)立的上海OA 運(yùn)營服務(wù)提供商

24Perspective：關(guān)于網(wǎng)絡(luò)服務(wù)的5大謊言

25麥肯錫電子商務(wù)論叢－B2B市場銷售指南

26上海OA日趨重要

27使用面向服務(wù)方法來設(shè)計(jì)網(wǎng)絡(luò)服務(wù)

28Web Service管理的集大成者

29“高管”走了　企業(yè)怎么辦？

30WS-I公布網(wǎng)絡(luò)服務(wù)標(biāo)準(zhǔn)草案 SUN 最終加入成為會員

上一篇：促進(jìn)術(shù)語標(biāo)準(zhǔn)化 W3C出版“網(wǎng)絡(luò)服務(wù)字匯表”

下一篇：Web Services和J2EE：集成中的伙伴

上海OA系統(tǒng)

上海OA軟件

上海OA新聞動態(tài)

上海OA信息化

上海OA快博

上海OA軟件行業(yè)資訊

上海軟件開發(fā)公司

上海門禁系統(tǒng)

上海物業(yè)管理軟件

上海倉庫管理軟件

上海餐飲管理軟件

上海網(wǎng)站建設(shè)公司

聯(lián)系方式

成都公司：成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司：重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢：400-8352-114

加微信，免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

電話咨詢：
4008352114

QQ在線咨詢

保證Web服務(wù)安全的SAML

泛普上海OA快博其他應(yīng)用