SAML简介:安全地共享数字身份信息 - 编程入门网
:Response>
SAML简介:安全地共享数字身份信息(4)时间:2011-08-26 博客园 小y应答的关键部分是Assertion元素。断言使用了SAML Assertion名称空间定义 的一个词汇表。它由一个验证语句组成,该语句告诉我们用户JSmith已通过口令 验证。它还包含了支配目标站点断言使用的一系列条件。在本例中,这些条件指 定一个10分钟的时间窗(time window),在时间窗之内断言有效。时间窗用来防止 重放攻击。没有它,中途截取断言的恶意用户可以明天再次发送断言来冒充 JSmith,并获得访问目标站点的权限。确认方法元素是指上面描述的浏览器凭证 。 接受断言后,目标站点视为JSmith已直接通过其用户名和口令登录。注意,验 证(鉴别用户身份)和授权(授予用户访问资源的权限)之间的分离在此是非常重要 的。源站点负责验证JSmith,但不提供关于JSmith在目标站点特权的任何信息。 这种安排对双方站点都有益处:源站点无需了解目标站点的资源或特权,目标站点 也可忽略源站点管理用户和验证的细节。这种分离提供了非常重要的灵活性。 假设源站点是JSmith的老板MegaBank。JSmith使用他在MegaBank的账号访问他 工作必需的三个不同外部宿主的应用程序。一天,MegaBank雇佣的安全顾问建议 在JSmith所在部门启用指纹验证。如果没有SSO和SAML,MegaBank就必须到三个应 用程序提供商那里请求他们支持指纹验证。应用程序提供商不得不权衡提供该支 持的成本和不提供该支持可能丢失客户的风险。MegaBank可能必须等待提供商发 布他们软件的新版本,所有的改动或许将昂贵又费时。通过SAML,MegaBank只需 改变自己的验证过程,在JSmith和其同事登录时检查指纹即可。作为SAML目标站 点的宿主应用程序无需清楚在MegaBank所做的更改,因为底层的SAML断言是保持 不变的。 使用SAML对用户Web站点或Web服务的设计与实现有一些影响,但仅限于在处理 Web窗口中的用户名和口令时,或在处理方法签名时。例如,下面的Web services API方法不能与SAML很好地协同工作:
该方法假设用户能够提供用户名和口令。如果Web服务的宿主是SAML目标站点 ,就没有Web服务实现可以验证的口令。有少数方式可以改进或扩展这些接口,使 其与SAML协同工作,这取决于所需的向后兼容性的水平。同样,如果在Web页包含 了具有用户名和口令字段的表单,那么为经过SAML验证的用户禁用口令字段是非 常重要的。 安全的SAML 由于SAML在两个拥有共享用户的站点间建立了信任关系,所以安全性是需考虑 的一个非常重要的因素。SAML中的安全弱点可能危及用户在目标站点的个人信息 。SAML依靠一批制定完善的安全标准,包括SSL和X.509,来保护SAML源站点和目 标站点之间通信的安全。源站点和目标站点之间的所有通信都经过了加密。为确 保参与SAML交互的双方站点都能验证对方的身份,还使用了证书。 BEA WebLogic Server中的SAML BEA WebLogic Server 9.0是第一个包含了对SAML支持的WebLogic Server版本 。WebLogic Server 9.1中进一步加强了对SAML的支持。WebLogic Server把SAML 作为WebLogic Security Service的一部分使用。SAML用来为WebLogic Web services和跨WebLogic域共享验证信息提供SSO支持。除SAML外,WebLogic Server也为Windows桌面SSO支持Simple and Protected Negotiate (SPNEGO)协议 。SAML可用来提供访问Web应用程序和Web service的权限。 对于一些应用程序,您仅需付出很少甚至无需付出额外的程序设计努力,就能 使用WebLogic Server中的SAML支持。如果用户应用程序使用配置为WebLogic 安 全域一部分的安全设置,那么集成SAML是一个首要的系统管理任务。WebLogic server可配置作为S |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |