安全斷言標(biāo)記語(yǔ)言（SAML，Security 安全斷言標(biāo)記語(yǔ)言（SAML，Security Language）是一種可擴(kuò)展標(biāo)識(shí)語(yǔ)及商戶對(duì)顧客（B2C）的事務(wù)處理定義三種元件：斷言、協(xié)議以及約束。存在驗(yàn)證、標(biāo)志、授權(quán)三種斷言。驗(yàn)證言確認(rèn)用戶的身份，標(biāo)志斷言包含特定的用戶信息，授權(quán)斷言確認(rèn)用戶得到授權(quán)MLML象訪問(wèn)協(xié)議（OAP）交換。ML與多個(gè)協(xié)議一起工作，包括超文本傳輸協(xié)議（P、（MP（POAP、BzkXML（ebXML。結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織（OASIS）SAML的標(biāo)準(zhǔn)組織ML是S制定的一種安全性斷言標(biāo)記語(yǔ)言，它用于在復(fù)雜的環(huán)境下交換用戶的身份識(shí)別信息。在ML誕生之前，如果想在bhee、boic和unNE等之間實(shí)現(xiàn)SO，我們必須分別實(shí)現(xiàn)一個(gè)適配層，來(lái)達(dá)成一種相互理解的協(xié)議，在該協(xié)議上，產(chǎn)品能夠共享各自的用戶認(rèn)證/授權(quán)信息。ML將來(lái)大部分產(chǎn)品都可以實(shí)現(xiàn)基于SAML的聯(lián)邦服務(wù)事實(shí)上已經(jīng)在很多商業(yè)/開(kāi)源產(chǎn)品中得到實(shí)現(xiàn)，包括OblixNetPointInternet2OpenSAMLYaleCAS3RSASecurityClearTrustEntrustGetAccessSAML背后是強(qiáng)大的商業(yè)聯(lián)盟和開(kāi)源聯(lián)盟Microsoft遲遲未SAML2.0觀點(diǎn)達(dá)成一致，但它也正努力跟進(jìn)SAML標(biāo)準(zhǔn)化過(guò)程，由此可見(jiàn)SAML協(xié)議已經(jīng)是勢(shì)在必行SAML標(biāo)準(zhǔn)&協(xié)什么SAML的概念很SAML的概念很重要，個(gè)人認(rèn)SAMLCAS/Kerberos很類似，理上不存在困難，但 引入了一些新的概念名詞，因此要先把握清楚這些概念斷言，這個(gè)在SAML的”A”，是整個(gè)SAML協(xié)議中出現(xiàn)的最多的字眼，我們可以將斷言方的斷言必須通過(guò)一些手段，比如數(shù)字簽名，以確保斷言的確實(shí)來(lái)自斷言方SAML目標(biāo)是讓多個(gè)應(yīng)用間實(shí)現(xiàn)聯(lián)邦身份(IdentityFederation)，提起聯(lián)邦，大家可以想象一下歐盟，歐盟國(guó)家之間的公民都具有一個(gè)聯(lián)邦身份，比Peter是法國(guó)公民，John是比利Peter和Jhhn那樣隨意進(jìn)入歐盟國(guó)家，顯然不能，因?yàn)樗痪哂袣W盟聯(lián)邦身份SAML上，SAML解決了聯(lián)邦環(huán)境中如何識(shí)別身份信息共享的標(biāo)準(zhǔn)化問(wèn)題，比如，法國(guó)的Peter進(jìn)入比利時(shí)，他如何證明自己的身份呢？SAML就是為了解決這個(gè)問(wèn)題在聯(lián)邦環(huán)境中，通常有下面的3種實(shí)體Subject主題)Subject是SAML實(shí)體中的第一個(gè)重要的概念，Subject包括了UserEntityWorkstationRelyingParty信任方)：SAML中的ServiceProvider角色，也就是提供服務(wù)的一我們看看聯(lián)邦環(huán)境的一個(gè)場(chǎng)假設(shè)有一個(gè)eerSubec)的法國(guó)公民，他需要訪問(wèn)比利時(shí)ervcePoide)，他在比利時(shí)機(jī)場(chǎng)被要求提供身份信息，eer提供了歐盟edeaon)的通行證件，隨即，這個(gè)通行證件在比利時(shí)機(jī)場(chǎng)被審核，或通過(guò)計(jì)算機(jī)送到歐盟身份認(rèn)證中心dnProde)，該中心有一個(gè)由所有歐盟國(guó)家共同建立的公民數(shù)據(jù)庫(kù)，中心審核了eer的身份信息，并斷言esesPeeromrance”eer“。如果你將歐盟看作是一個(gè)聯(lián)邦環(huán)境，你會(huì)發(fā)現(xiàn)上面的場(chǎng)景跟在聯(lián)邦環(huán)境應(yīng)SAML很在聯(lián)邦環(huán)境下，任何需要授權(quán)訪問(wèn)的服務(wù)都需要知道服務(wù)請(qǐng)求方的身份主題信息(hoaeou)，服務(wù)提供方evcePoide)不負(fù)責(zé)審核用戶的身份信息，但它依賴于1個(gè)甚dnPovder1個(gè)dnePovderevceovder即evceProderdneProvde)，就好比如，如果比利時(shí)evcePoide)放對(duì)歐盟國(guó)家成員訪問(wèn)，它信任歐盟的dnePovder，它信任歐盟的dnePovder的”eseteFomFranceeer(注SAMLAuthorization斷言做了標(biāo)準(zhǔn)化，此處，我們僅僅關(guān)注Authentication)1SAML在協(xié)議的角度，SAML原理非常類似在協(xié)議的角度，SAML原理非常類似CAS和Kerberos，CAS協(xié)議依賴于CASServer，Kerberos依賴于KDC，而SAML則依賴于IdentityProvider。根據(jù)ServiceProvider(以下簡(jiǎn)稱SP)和IdentityProvider(以下簡(jiǎn)稱IDP)的交互方式，SAML可以分為以下幾種模式：一種是SP拉方式，一種是IDP推方式。SAMLSPSubjectSPSP主IDPSubjectIDPIDPSubject的身份斷言通過(guò)某種途徑告訴SP。2.1SAMLPOST/ArtifactBindings方式（SP拉方式該方式的主要特點(diǎn)是，SP獲得客戶端的憑證(是IDP對(duì)Subject的一種身份認(rèn)可之后，主動(dòng)請(qǐng)求IDP對(duì)Subject的憑證的斷言。如下圖所示：SubjectSPSubject訪問(wèn)SP的受保護(hù)資源，SP發(fā)現(xiàn)Subject息，于是它重定向用戶訪問(wèn)2SAML的2協(xié)議執(zhí)協(xié)議執(zhí)行1，SubjectIDP(/2，IDPSubject3，假如Subject的驗(yàn)證信息正確，他將獲取IDPSP4，SPSubject的憑證，它是提供服務(wù)之前必須驗(yàn)證次憑證，于是，它產(chǎn)生了一個(gè)SAML請(qǐng)求，要求IDP對(duì)憑證斷言5IDPSAML6，SPIDPSAMLSubject2.2SAMLRedirect/POSTBindings(IDPIDPSubject1，SubjectSP1，SubjectSPSPSubjectIDP2，IDPSubject(PasswordX.5093，SubjectIDP4，IDPSubjectSP5，SPIDP(IDPSPIDP的證書，因此，通過(guò)校驗(yàn)簽名，能夠確信從Subject過(guò)來(lái)的斷言確實(shí)來(lái)自IDP的斷言)。6SPSubjectIdPSP同時(shí)為IdPSP進(jìn)行SAML安全調(diào)試和/或直接“跟蹤”日志是一個(gè)標(biāo)準(zhǔn)測(cè)試過(guò)程。為Web應(yīng)用瀏覽器認(rèn)證使用SAML時(shí)，另一種工具是tcpmon。tcpmon是一個(gè)在TCP連接上監(jiān)數(shù)據(jù)流動(dòng)的開(kāi)源工具，在客戶端和服務(wù)器之內(nèi)與兩者之間通過(guò)配置來(lái)使用要求SAML身份驗(yàn)證的網(wǎng)站重定向HTTP協(xié)議層，為了調(diào)SPIdp如何在驗(yàn)證和斷言處理期間重定向?yàn)g覽器，LiveHTTP標(biāo)題是很有用的建立伙伴信任關(guān)如參考文章所言，關(guān)鍵配置要求不只配置一個(gè)僅有的私鑰。這種處理類型只對(duì)開(kāi)發(fā)SAML2.0特性分有好處。我們強(qiáng)烈推薦從一個(gè) 有好處。我們強(qiáng)烈推薦從一個(gè) 這樣有效的證書頒發(fā)機(jī)構(gòu)獲得一個(gè)完全可信的書為可信任伙伴的SAML集成，至少需要兩條關(guān)鍵因用于SP網(wǎng)站上的斷言消費(fèi)服務(wù)的私鑰為IdP(見(jiàn)圖一)提供了SSL客戶端身份驗(yàn)證功（見(jiàn)圖一）MLOST生產(chǎn)環(huán)境與獨(dú)需或跨域集成的中間件應(yīng)用通常要求中間件環(huán)境下的高度可擴(kuò)展性或容錯(cuò)啟示：SAML2.0特M20ebSOM11，這種“普遍注銷”dP內(nèi)在的ooe提供者。uhencaonSaemen>元素已更名為uhntaemen>。<uhnateen>元素現(xiàn)在支持了會(huì)話的概念，以便支持單點(diǎn)注銷和其他會(huì)話管理要求SAML模式的可擴(kuò)展性機(jī)制已經(jīng)更新了。因?yàn)橛欣陬愋蛿U(kuò)展，XSD元素的替代者已被封掉。已經(jīng)選擇性地將<xs:anyAttribute>通配符添加進(jìn)結(jié)構(gòu)中，就是被視為有價(jià)值的地方，因?yàn)榭梢蕴砑尤我鈱傩远鵁o(wú)需創(chuàng)建一個(gè)模式擴(kuò)展，如，對(duì)象確認(rèn)數(shù)據(jù)SAML屬性。這是一用，并且該應(yīng)用可能對(duì)非常有興趣了解這這篇文章曾是基于瀏覽器/POST配置文件。在SAML1.1中這兩個(gè)原始的瀏覽器配置文件（Browser/ArtifactBrowser/POST）已經(jīng)合并到了單一的瀏覽器SSO的配置文件中了。SSOSAML1.1SAML2.0不只是跟上當(dāng)前技術(shù)問(wèn)題，SAML2提供了一個(gè)采納人一句話，改變既不見(jiàn)得是好事，也不一定是壞事，如此而已FrankTeti是Ironworks的一位架構(gòu)師，以前FrankTeti是Ironworks的一位架構(gòu)師，以前屬Oracle/BEASystemsSOA/BPM你可以用fteti@和他聯(lián)系份管理中被SAML大大簡(jiǎn)化了的一部分，即基于角色的訪問(wèn)控制（RBAC。越來(lái)越多廠商在支RBAC，因?yàn)樗梢宰尮芾韱T簡(jiǎn)化訪問(wèn)控制列表曾經(jīng)調(diào)查過(guò)一個(gè)數(shù)據(jù)：內(nèi)部用戶和外部伙伴同時(shí)在使用的口令有多少？回答居然超過(guò)1515CIO常容易地訪問(wèn)數(shù)據(jù)的夸獎(jiǎng)而開(kāi)心不已（LDAP）可保存驗(yàn)證信息，而每個(gè)應(yīng)用程序（或管理員）則維持不同的用戶訪問(wèn)列表。那時(shí)，維護(hù)、同步及更新這些不同功能是一件費(fèi)力又費(fèi)錢的事/（AbAb系列的多級(jí)服務(wù)，可以讓用戶登錄一次，然后就可以調(diào)用b服務(wù)、訪問(wèn)很多應(yīng)用系統(tǒng)和LDAPb服務(wù)可以訪問(wèn)數(shù)據(jù)的一般的方法LDAPJerichoSystems公司提供的規(guī)則集。這家軟件EnterSpaceSAMLJerichoSystems，是因?yàn)檫@家公司提供的產(chǎn)品物美價(jià)廉，而且愿意遷就各種限制。利用EnterSpace，你可以結(jié)合使SAML、規(guī)則集以及定制的規(guī)則，把身份管理的所有部分與為管理中心的LDAP聯(lián)系起來(lái)SAML便于把LDAP驗(yàn)證和訪問(wèn)授權(quán)聯(lián)系起來(lái)SAML：集中身份管理的秘間交換驗(yàn)證間交換驗(yàn)證和授權(quán)信息的可擴(kuò)展標(biāo)記語(yǔ)言（XML）框架，尤其是借助Web服務(wù)交有了SAML，多家公司管理的站點(diǎn)之間就可以實(shí)現(xiàn)基于Web的安全兼容，如單次登錄全（TLS），支持安全交換驗(yàn)證和授權(quán)信息。RSA、Netegrity、IBM、Oracle、BEA、Oblix和 等廠商已承諾支持SAML，并正在把這項(xiàng)規(guī)范實(shí)施到各自的產(chǎn)品中去“SAML斷言Assertion）使用SOAP消息里面的標(biāo)題通過(guò)HTTP進(jìn)行傳輸在斷言管理方和轉(zhuǎn)發(fā)方之間傳輸安全信息。比如，用戶在某一站點(diǎn)登錄后，SAML斷言會(huì)輸用戶驗(yàn)證令牌，其中提供了通過(guò)驗(yàn)證登錄遠(yuǎn)程站點(diǎn)驗(yàn)證的手段。SAML封包包括驗(yàn)證令牌值得一提的是，SAML不負(fù)責(zé)驗(yàn)證，它只負(fù)責(zé)傳輸被驗(yàn)證的信息。另外，SAML可使用不同的驗(yàn)證管理機(jī)構(gòu)，比如LDAP、活動(dòng)目錄和RADIUS，允許使用不同的識(shí)別方法，如口令、生物檢測(cè)術(shù)、公鑰基礎(chǔ)設(shè)施（PKI、安全套接層（SSL）和Kerberos等等。隨后，作為傳輸機(jī)制，SAML傳輸用戶已通過(guò)驗(yàn)證的斷言信息。相比之下，SAML既不進(jìn)行授權(quán)，也不傳輸訪問(wèn)控制信息不妨把ML“是oe”oe是Rudoph”Rudoph找到她的名字后，一路護(hù)送她觀看賭場(chǎng)。最后，如果詹姆斯·邦德亮一下卡，看一眼掃描裝授權(quán)列表作一 可能會(huì)受到三種廣為人知的安全攻擊重放攻擊（replayattack）:如果惡意黑客SAML令牌后進(jìn)行重放，獲得非法訪問(wèn)權(quán)就會(huì)發(fā)生這種攻擊DNS欺騙：如果黑客截獲SAML令牌后，發(fā)送虛假的DNS地址，就會(huì)發(fā)生這種攻擊HTTP鏈接攻擊（HTTPReferrerAttack：如果黑客重新使用HTTP鏈接標(biāo)記，就會(huì)生這種攻擊牌只用一次，并且把令牌使用情況記入日志，這樣重新使用就會(huì)被標(biāo)出來(lái)；使用IP地址DNS欺騙；使用安全超文本傳輸協(xié)議（HTTPS）和SSL/TLS，消HTTP攻擊。專家分析師一致認(rèn)為，這些風(fēng)分析師一致認(rèn)為，這些風(fēng)險(xiǎn)是可以緩解的為斷言提供了一種安全標(biāo)準(zhǔn)SAML令牌。用戶通過(guò)使用定義訪問(wèn)控制的規(guī)則，獲得訪問(wèn)數(shù)據(jù)資源的授權(quán)，而JerichoSystemsEnterSpace規(guī)則引擎負(fù)責(zé)評(píng)估1ML策略創(chuàng)建而成。因?yàn)橐?guī)則控制訪問(wèn)，并體現(xiàn)策略，所以引擎通過(guò)實(shí)施規(guī)則來(lái)執(zhí)行策略管理。非常籠統(tǒng)地說(shuō)，用戶基于DP信息、用戶信息和訪問(wèn)規(guī)則獲得訪問(wèn)權(quán)限。此外，用戶離DP就可以基于作為管理中心的LDAP來(lái)集中管理身份1為了加以說(shuō)明，不妨看2所示的幾個(gè)步驟。用戶登錄到桌面機(jī)上的客戶端后，客戶端通過(guò)本地LDAP（圖中沒(méi)有顯示）對(duì)其進(jìn)行驗(yàn)證。然后，客戶端向SAML服務(wù)方發(fā)送包括返回驗(yàn)證信息的請(qǐng)求，SAML服務(wù)方對(duì)信息打包處理后Web服務(wù)使用。Web服務(wù)就會(huì)通過(guò)發(fā)送查詢LDAP服務(wù)器（圖中沒(méi)有顯示）SAML令牌里的驗(yàn)證信息。一旦通過(guò)了核實(shí)，Web服務(wù)就根據(jù)規(guī)則引擎中的規(guī)則，允許訪問(wèn)數(shù)據(jù)資源。然后Web服務(wù)返回響應(yīng)給客戶端，從而完成用戶的請(qǐng)求過(guò)程AAAAb（OA）TPS上的POAb，就可以改動(dòng)架構(gòu)的任何部分AA服務(wù)使用本地域LDAP進(jìn)行驗(yàn)證及隨后基于SAML的安全斷言。SAML令牌用把斷言傳輸?shù)娇尚刨Y源，再由可信資源允許或拒絕對(duì)數(shù)據(jù)資源的訪問(wèn)這種功能類似駕駛執(zhí)照：機(jī)動(dòng)車輛管理局（DMV）就是管理方（好比LDAP，負(fù)責(zé)實(shí)你的身份及駕駛資格。交警充當(dāng)可信資源，負(fù)責(zé)DMV復(fù)核身份，然后根據(jù)目前的駕駛服務(wù)在使用規(guī)則引擎評(píng)估授權(quán)規(guī)則時(shí)，以允許或拒絕訪問(wèn)數(shù)據(jù)資源限定條件的安策略為基礎(chǔ)。引擎規(guī)則對(duì)加強(qiáng)策略管理來(lái)說(shuō)是核心所在使用LDAP作為管理方還有助于實(shí)現(xiàn)身份集中管理。不是在單個(gè)資源處管理資源訪問(wèn)DP和定義用戶角色及相應(yīng)數(shù)據(jù)參數(shù)（如部門和管理級(jí)別）以下是這個(gè)過(guò)程的幾個(gè)重要步驟第1步：用戶登錄。用戶需要訪問(wèn)數(shù)據(jù)資源，于是SOAP客戶端利用用戶名和令對(duì)進(jìn)行登錄?？蛻舳税延脩裘涂诹顚?duì)（還有可能是其他安全因素）傳送LDAP進(jìn)驗(yàn)證。核實(shí)用戶后，把信息返回給客戶端2步：SAML令牌。驗(yàn)證。核實(shí)用戶后，把信息返回給客戶端2步：SAML令牌。SOAP客戶端把返回的LDAP信息及其他用戶信息傳客戶端。該服務(wù)方會(huì)按正確格式把信息打包成令牌客戶端把令SOAPSOAPSAML令牌和用戶請(qǐng)求打包SOAP3步：SAML會(huì)話開(kāi)始。SOAPSAMLSOAPWeb服務(wù)，以滿足用戶需求。Web服務(wù)SAMLLDAP核實(shí)驗(yàn)信息。這樣，用戶只要登錄一次：每信任Web服務(wù)核實(shí)了請(qǐng)求信息 服務(wù)都可以充當(dāng)用戶代理，并獲得數(shù)據(jù)資源第4步:bMLAMLWeb服務(wù):后發(fā)回給SOAP客戶端。SOAP客戶端再把數(shù)據(jù)提供給用戶，同時(shí)SAML會(huì)話。SAML總的說(shuō)來(lái)，我們建立的基于SAML的AAWeb服務(wù)依靠LDAP作為管理中心。使用LDAP獲得簡(jiǎn)化和統(tǒng)一的訪問(wèn)控制管理就可以終止與中央賬戶（這里是LDAP）相關(guān)的所有訪問(wèn)。這種Web服務(wù)為斷言、認(rèn)證和服務(wù)提供了通用服務(wù)。開(kāi)發(fā)人員可Web服務(wù)，允許Web服務(wù)訪問(wèn)所需的應(yīng)用和數(shù)據(jù)資源SAML傳輸?shù)氖橇钆疲皇球?yàn)證或者授權(quán)機(jī)制。為了緩解風(fēng)險(xiǎn)，SAML時(shí)會(huì)話、IP地址、HTTPSSSL/TLS。安Web服務(wù)非常復(fù)雜，涉及法律、安全和政治等使用作為管理中心可以實(shí)現(xiàn)集中身份管理。規(guī)則引擎為訪問(wèn)控制和策略管理供了有效而靈活的方案（它同時(shí)支持基于角色和基于屬性的訪問(wèn)控制可以簡(jiǎn)化身份管理，首先是因?yàn)榭梢?處激活或者禁用賬戶。其次，可以避費(fèi)用，因?yàn)榭梢约屑皽p少驗(yàn)證應(yīng)用，減少審查風(fēng)險(xiǎn)。最后，可以簡(jiǎn)化身份管理戶管理使用現(xiàn)有的LDAP戶管理使用現(xiàn)有的LDAP服務(wù)，從而減少了開(kāi)銷、加強(qiáng)了同步雖然使用OracleWebLogicIdP是顯然可行的，但它沒(méi)有一個(gè)真實(shí)訪問(wèn)管理環(huán)境的特征，諸如Sun訪問(wèn)管理器，Tivoli訪問(wèn)管理器，Oracle訪問(wèn)管理器等。作IdPOracleWebLogic服務(wù)器不提供，類似像Sun訪問(wèn)管理器所提供的會(huì)話管理功能。眾多廠商支持的SAML提供了一個(gè)優(yōu)于企業(yè)內(nèi)部網(wǎng)的SSO解決方案。圖一描述了一個(gè)使用以下技術(shù)的參考架構(gòu)：IdPSun10.3SAMLLDAP含了他們自身內(nèi)部的構(gòu)造，導(dǎo)致配置SAML變得有點(diǎn)像映射工作。隨著Oracle收購(gòu)了Sun，Sun訪問(wèn)管理器是否會(huì)退役而有利于OracleOracle訪問(wèn)管理器OracleOblixSAMLSun訪問(wèn)管IdpSAMLWebLogicIdPSAML證配置并不是對(duì)稱的，可以這么說(shuō)，正如SAML：企業(yè)級(jí)的Sun訪問(wèn)管理器的源ID是一個(gè)難以理解的數(shù)據(jù)類型，它就是以SP站點(diǎn)“protocol://hostname:port”字符串Base64編碼SHA1SP不需要知道這ID在SAML的身份驗(yàn)證模型里，IdP需要一個(gè)作為身份驗(yàn)證用戶的“記錄系統(tǒng)”的本地存儲(chǔ)庫(kù)。LDAPSPSP使用同一個(gè)本地LDAP庫(kù)來(lái)驗(yàn)證用戶。不過(guò)，雖然這種模式可能適用于Intranet應(yīng)用，但SAML：IdPSP用戶存儲(chǔ)站點(diǎn)的網(wǎng)絡(luò)應(yīng)用上是不可站點(diǎn)的網(wǎng)絡(luò)應(yīng)用上是不可行的，并且實(shí)際上沒(méi)有利用SAMLSSO斷言模型另外，通過(guò)配SP就可以“虛擬用戶”。圖3窗口描述了WebLogic控制臺(tái)上創(chuàng)建一器實(shí)例化用Principal(s)。這個(gè)配置也要求SAML驗(yàn)證提供者為安全界限做一些配置。這個(gè)配置使用戶以虛擬用戶身份登錄這個(gè)虛擬用戶，和任何本地的已知用戶都沒(méi)有對(duì)系3WebLogic10.3確切地說(shuō)，創(chuàng)建斷言方窗口捕獲了下述信XML安全：使SAML確保可移的信長(zhǎng)期以來(lái)，人們認(rèn)識(shí)到需要提供一種機(jī)制在不同的協(xié)作域之間傳遞關(guān)于實(shí)體的信息，ML在 安全系列文章的上一篇中，我談及了與安全有關(guān)的兩個(gè)很重要的主題·易于管理·可移植的信任在那篇文章中，我討論了使用MSML我將SAML背后的目標(biāo)談起，然后介紹SAML的體系結(jié)構(gòu)，最后解SAML的概念信任不可移植的問(wèn)您經(jīng)常會(huì)遇到需要提供信任不可移植的問(wèn)您經(jīng)常會(huì)遇到需要提供個(gè)人信息的Web站點(diǎn)，原因基本上是驗(yàn)證或者通過(guò)個(gè)人首選·對(duì)所有這些單獨(dú)的站點(diǎn)都要考慮您的信息的安全·多個(gè)站點(diǎn)不能協(xié)同為您提供所感興趣的更精細(xì)的服務(wù)存在一種機(jī)制使您能夠在三個(gè)獨(dú)立的站點(diǎn)之間無(wú)縫移植——可能需要提交證明進(jìn)行三次驗(yàn)證（假設(shè)這三家您都有帳戶服務(wù)所提供的高級(jí)服務(wù)本文SAML如何實(shí)現(xiàn)這一目標(biāo)SAMLSAML的主要目標(biāo)包括·建立一種獨(dú)立于協(xié)議和平臺(tái)的驗(yàn)證和授權(quán)交換機(jī)制（也稱為單點(diǎn)登錄，或·應(yīng)該獨(dú)立部署環(huán)境，能夠用于集中式的、分散式的以及聯(lián)合式的部署場(chǎng)景·SAML框架應(yīng)該XML的SSOSAML的體系結(jié)是一種控制對(duì)已驗(yàn)證主體的資源進(jìn)行訪問(wèn)的機(jī)制。對(duì)資源的訪問(wèn)基于特定的管理。這種機(jī)制需要兩種關(guān)鍵性的活動(dòng)·基于策略的訪問(wèn)控制決策·強(qiáng)制實(shí)施這些決策SAML提供了兩種角色處理這些活動(dòng)：策略決策點(diǎn)（PolicyDecisionPoints，PDPs）策略實(shí)施點(diǎn)（PolicyEnforcementPoints，PEPs場(chǎng)景：主體希望從目標(biāo)Web 驗(yàn)證該主體的源Web站點(diǎn)。用戶從源站點(diǎn)出發(fā)嘗試訪問(wèn)目標(biāo)Web站點(diǎn)上的受保護(hù)內(nèi)容，步驟·主體向源站點(diǎn)驗(yàn)證并請(qǐng)求到·主體向源站點(diǎn)驗(yàn)證并請(qǐng)求到目標(biāo)站點(diǎn)受保護(hù)資源的鏈接·源站點(diǎn)使用驗(yàn)證標(biāo)志重定向主體·主體使用該標(biāo)志向目標(biāo)站點(diǎn)請(qǐng)求受保護(hù)的資源·目標(biāo)站PEP檢查該P(yáng)DP的權(quán)·PDP可能內(nèi)部請(qǐng)求源站點(diǎn)使用該標(biāo)志進(jìn)行SAML驗(yàn)證斷言·源站點(diǎn)根據(jù)標(biāo)志向目標(biāo)站點(diǎn)提供SAML驗(yàn)證斷言·目標(biāo)站點(diǎn)向主體提供受保護(hù)的資源總之，在源站點(diǎn)驗(yàn)證的主體從 權(quán)威獲得一個(gè)標(biāo)志并將其提供給目標(biāo)站點(diǎn)。目站點(diǎn)使用該標(biāo)志從源站點(diǎn)請(qǐng)求所需要的信息而不需要明確地從主體獲SAML綜SAML規(guī)范由以下部分組·斷言與協(xié)議：該規(guī)范處理定義XML編碼的斷言的語(yǔ)法和語(yǔ)義，以及請(qǐng)求和響·綁定與配置文件：該規(guī)范SAML請(qǐng)求/響應(yīng)消息到底層通信協(xié)議SOAP的映射。控制在底層通信協(xié)議中嵌入和提取SAML信息的一組規(guī)則稱為一個(gè)配·一致性規(guī)范：不同的AMLML·安全和保密的問(wèn)題：該規(guī)范涉及SAML體系結(jié)構(gòu)中的安全風(fēng)險(xiǎn)，具體而言就是如何應(yīng)對(duì)這些風(fēng)險(xiǎn)以及無(wú)法解決的風(fēng)險(xiǎn)我將采用問(wèn)答的形式介紹和 有關(guān)的概念。我將逐個(gè)回答以下問(wèn)題以澄清這些本概念·什么是斷言·誰(shuí)生產(chǎn)和消費(fèi)斷言·如何請(qǐng)求斷言，如何發(fā)送響應(yīng)？基本上而言，請(qǐng)求和響應(yīng)協(xié)議是什么·SAML請(qǐng)求響應(yīng)協(xié)議可以綁定到哪些底層的通信傳輸協(xié)議·如何向SOAP這樣的底層通信傳輸協(xié)議中插入SAML斷言·什么是一致性規(guī)范，為何需要它·如果只實(shí)現(xiàn)了標(biāo)準(zhǔn)的子集，也能說(shuō)該實(shí)現(xiàn)是兼容的么·定義一致性的粒度級(jí)別是什么·SAML的系統(tǒng)的安全風(fēng)險(xiǎn)是什么什么是斷言一組斷言組成一個(gè)主體的配置文件。配置文件中的斷言可能來(lái)自不同斷言有三種類型·驗(yàn)證：驗(yàn)證斷言處理主體在特定時(shí)刻、斷言有三種類型·驗(yàn)證：驗(yàn)證斷言處理主體在特定時(shí)刻、特定機(jī)制下的身份驗(yàn)證·屬性：屬性斷言提供聯(lián)系特定屬性與給定主體的一種機(jī)制·授權(quán)決策：授權(quán)決策斷言管理給定主體訪問(wèn)資源的權(quán)限誰(shuí)生產(chǎn)和消費(fèi)斷言SAML權(quán)威生產(chǎn)斷言。SAML權(quán)威可進(jìn)一步劃分為驗(yàn)證權(quán)威、屬性權(quán)威或言的消費(fèi)者是客戶或者SAML權(quán)威本身PDP。如何請(qǐng)求斷言，如何發(fā)出響應(yīng)？基本上而言，請(qǐng)求和響應(yīng)協(xié)議是什么請(qǐng)求響應(yīng)協(xié)議為發(fā)送斷言請(qǐng)求和獲取響應(yīng)定義了一種標(biāo)準(zhǔn)消息格式。請(qǐng)求協(xié)議定義的消息格式采用下面的請(qǐng)求類·SubjectQuery：允許使用模式定義新的查詢類型，指定一個(gè)SAML主體·AuthenticationQuery：請(qǐng)求一個(gè)主體的驗(yàn)證信息。返回驗(yàn)證斷言作為響應(yīng)·tibueuery·uhozaonecsonuey·AssertionIDReference：根據(jù)唯一標(biāo)識(shí)符檢索特定的斷言·AssertionArtifact：根據(jù)代表斷言的助診文件檢索一個(gè)斷言響應(yīng)消息格式分別對(duì)應(yīng)請(qǐng)求SAML請(qǐng)求響應(yīng)協(xié)議可以綁定到哪些底層的通信傳輸協(xié)議SAMLSAML請(qǐng)求和響應(yīng)消息在標(biāo)準(zhǔn)通信傳輸協(xié)議上的映射。目前只定義了一種綁定，SOAP上的SAML。SAMLSOAP綁定描述了SAML請(qǐng)求和響應(yīng)消息交換如何映射到SOAP消息交換上。SAML規(guī)范規(guī)定任SAML規(guī)范的實(shí)現(xiàn)必須實(shí)現(xiàn)基HTTP的SOAPSAML。實(shí)現(xiàn)也可以選擇實(shí)現(xiàn)基于其他傳輸協(xié)議系如SMTPFTP的SOAP上的SAML如何向SOAP這樣的底層通信傳輸協(xié)議中插入SAMLSAML規(guī)范定義了一組稱為配置文件的規(guī)則，描述了實(shí)現(xiàn)應(yīng)該如何在底層協(xié)議消息中插入、提取和集成斷言。比如，SAML的SOAP配置文件描述了如何將SAML斷言添加到消息、SOAP頭會(huì)受SAML斷言的什么影響，以及如何SOAP消息中處理SAML錯(cuò)誤SAML規(guī)范中定義了兩個(gè)配置文件·瀏覽器發(fā)送配置文件或推式配置文件：SAML斷言在HTML表單中上傳到瀏覽器，用戶提交表單時(shí)作HTTPPOST有效負(fù)載傳遞給目標(biāo)站用戶提交表單時(shí)作HTTPPOST有效負(fù)載傳遞給目標(biāo)站點(diǎn)。這種情況下，源站點(diǎn)從目標(biāo)Web站點(diǎn)請(qǐng)求一個(gè)標(biāo)志，后者返回一個(gè)授權(quán)決策標(biāo)志。使用這個(gè)標(biāo)志將主體重定向到目標(biāo)Web站·（aactAML（ML標(biāo)志取得驗(yàn)證/授權(quán)信息并決定是否允許訪問(wèn)什么是一致性規(guī)范，為何需要它一致性規(guī)范有助于客觀地評(píng)價(jià)SAML實(shí)現(xiàn)或應(yīng)用程序?qū)AML規(guī)范的一致程度。以原因使一致性規(guī)范很有必要·確保對(duì)一致性和一致性需求有共同的理解·促進(jìn)驗(yàn)證和授權(quán)信息交換的互操作性·促進(jìn)一致性測(cè)試開(kāi)發(fā)中的統(tǒng)一性如果只實(shí)現(xiàn)了標(biāo)準(zhǔn)的子集，也能說(shuō)該實(shí)現(xiàn)是兼容的么是的。對(duì)于遵循整個(gè)規(guī)范或者規(guī)范子集的 實(shí)現(xiàn)來(lái)說(shuō)，可以說(shuō)是兼容的定義一致性的粒度級(jí)別是什么SAML一致性根據(jù)應(yīng)用程序或?qū)崿F(xiàn)所支持的SAML綁定和配置文件來(lái)定義。對(duì)于支的每種綁定和配置文件，必須從以下幾個(gè)方面規(guī)定一致·應(yīng)用程序或?qū)崿F(xiàn)是作為SAML消息的生產(chǎn)者、消費(fèi)者還是兼具兩種作用·應(yīng)用程序或?qū)崿F(xiàn)支持哪些斷言和陳述基于SAML的系統(tǒng)的安全風(fēng)險(xiǎn)是什么陳述的消費(fèi)者必須在信任SAML陳述之前確信底層的基礎(chǔ)設(shè)施。底層的基礎(chǔ)設(shè)施也必須括作為客戶請(qǐng)求和服務(wù)器響應(yīng)來(lái)回傳遞的有效負(fù)載的安全性和機(jī)密性既然SAML是一種多方驗(yàn)證和授權(quán)系統(tǒng)，一個(gè)SAML事務(wù)中的合法參與者就用對(duì)其他事務(wù)有威脅的信息和斷言有關(guān)的風(fēng)險(xiǎn)：斷言一旦發(fā)出就不在發(fā)出者的控制之內(nèi)了。比如，消費(fèi)可能在未定的時(shí)期內(nèi)持續(xù)使用斷言，或者選擇與最初的發(fā)出者不知道的第三方共享這些息與協(xié)議有關(guān)的風(fēng)險(xiǎn)：通過(guò)要求較低層次上的客戶驗(yàn)證、客戶發(fā)出的請(qǐng)求需要名，或者限制SAML請(qǐng)求只能發(fā)給有限的已知方，可以防止拒絕服務(wù)攻擊（DOSSAML協(xié)議綁定（目前SAML協(xié)議綁定（目前SOAP綁定）有關(guān)的風(fēng)險(xiǎn)·竊·重·消息插·消息刪·消息篡·中間與基TLS/SSLHTTP上的SOAP有關(guān)的風(fēng)險(xiǎn)：這種方法只針對(duì)單跳提供安全性機(jī)密性和授權(quán)。對(duì)于多次中轉(zhuǎn)，HTTP和TLS/SSL沒(méi)有提供足夠的安全性·竊·偷竊用戶驗(yàn)證·偷竊持票人的·重·消息插·消息刪·消息篡·中間SAML過(guò)清單1示范了如何使用SAML檢索關(guān)于一個(gè)主體的斷言。這段代碼來(lái)Verisign所SAML示例實(shí)現(xiàn)供.//SAMLservice//ChangeittotheSAMLserviceproviderurlthatyou//tryingtoconnectstaticfinalStringSERVICE_URL=//EmailofthesubjectthatuniquelyidentifiesstaticfinalStringSUBJECT_EMAIL=//Subjectpasswordtoauthenticatethe//Thekeystoretobeusedforgettingtheprivatekey//thepublicstaticfinalStringKEYSTORE_FILE=////KeystorestaticfinalStringSIGNER_ALIAS=staticfinalStringV_NAME_QUALIFIER="/ams";staticfinalStringV_ATTR_NAMESPACE=staticfinalStringV_ATTR_EMAIL=publicstaticvoidmain(String{NameIdentifiernameIdString[]confMethods={Identifiers.AUTHN_METHOD_PASSWORD};SubjectConfirmationsconf=Subjectsubject=newSubject(nameId,sconf);AttributeDesignator[]reqAttrs=AttributeQueryquery=newAttributeQuery(subject,reqAttrs);AttributeStatementProviderprovider=null;tryprovider=}catch(Exceptione)}try{statements=}catch(Exceptione1)}if(statements.length=={System.out.println("Nostatements}for(inti=0;i<statements.length;i+={AttributeStatementstatement=statements[i];Authenticityauthenticity=statement.getAuthenticity();System.out.println("Statement"+(i+1)+"authenticity:"+//PrintattributeSystem.out.println("---AttributeStatement---System.out.println(System.out.println("Subject:+//Printattributefor(intk=0;k<attrs.length;k+=1){Attributeattr=System.out.println("Namespace:"+attr.getAttributeNamespace());System.out.println("Name:"+attr.getAttributeName());Object[]values=attr.getAttributeValues();for(intm=0;m<values.length;m+=1)System.out.println("Value:"+}}}}privatestaticAttributeStatementProvider//ReadthekeystoreandgetthesigningInputStreamfileInput=newFileInputStream(KEYSTORE_FILE);KeyStorekeystore=PrivateKeykey=keystore.getKey(SIGNER_ALIAS,STORE_PASS.if(key==null)"keynotfoundinkeystore"+}Certificate[]certArray=if(certArray==null)"certnotfoundinkeystore"+}System.arraycopy(certArray,0,certs,0,certs.length);//CreateSOAPassertionproviderfactorywithsigninginformationSOAPAssertionProviderFactoryfactory=factory.setSigningKey(newRSASigningKey(key));factory.setVerifyingKey(newRSAVerifyingKey(certs));returnfactory.newAttributeStatementProvider();清單1中在SOAP協(xié)議上查詢主體屬性的步驟描述如下·清單1中在SOAP協(xié)議上查詢主體屬性的步驟描述如下·1步：建立關(guān)心其屬性的主體。這是通過(guò)創(chuàng)建SubjectIdentifier并定義SubjectConfirmation方法實(shí)現(xiàn)的·2步：使用主體的e-mailID作為主體的唯一標(biāo)識(shí)·步：創(chuàng)建AttributeDesignator對(duì)象，該對(duì)象指定了希望檢索的屬性。在清單1中，SAML實(shí)現(xiàn)把這個(gè)數(shù)組保留為空值，檢索與查詢對(duì)象相關(guān)的所有屬性值，這些屬性AttributeDesignator·5步：使用主體和AttributeDesignator數(shù)組創(chuàng)AttributeQuery對(duì)象·6SAMLURLAttributeStatementProvider·7步：使SOAPAssertionProviderFactoryAttributeStatementProvider。在創(chuàng)建AttributeStatementProvider之前必須向SOAPAssertionProviderFactory提供簽名密鑰和檢驗(yàn)密·8步：對(duì)6步創(chuàng)建AttributeStatementProvider執(zhí)行5步建立的查詢。獲得一AttributeStatement對(duì)象數(shù)組。該數(shù)組包含提供程序作為查詢結(jié)果發(fā)送的所有屬性的值。迭述中的所有屬性以便獲得屬性值結(jié)束本文考察了ML的目標(biāo)、體系結(jié)構(gòu)和基本概念。ML性產(chǎn)品并采用SAML作為標(biāo)準(zhǔn)ManishVermaSecondFoundation的首席架構(gòu)師，SecondFoundation一家全運(yùn)SAML（安全斷言標(biāo)記語(yǔ)言）已經(jīng)被結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)批準(zhǔn)為單登錄的執(zhí)行標(biāo)準(zhǔn)。連同Web單點(diǎn)登錄共同構(gòu)成了現(xiàn)代網(wǎng)絡(luò)環(huán)境中的必美國(guó)在線和是兩個(gè)知名網(wǎng)站，擁有大量的用戶。通過(guò)分析，這兩個(gè)網(wǎng)站發(fā)現(xiàn)他Web單點(diǎn)登錄和SAML技認(rèn)為有必要找到一種方法，讓這30%的用戶在登錄其中一個(gè)網(wǎng)站時(shí)，其身份能夠自動(dòng)被 單點(diǎn)登錄解決方案變化不大。每個(gè)系統(tǒng)都是一個(gè)孤島，各系統(tǒng)都要求用戶擁有一個(gè)賬戶才能訪問(wèn)該系這種方法有許多明顯的缺點(diǎn)。舉例來(lái)說(shuō)，設(shè)置多個(gè)賬戶,每個(gè)賬戶有一個(gè)密碼、組或其，各系統(tǒng)還必須單獨(dú)地去升級(jí)隨著互聯(lián)網(wǎng)的出現(xiàn)，多臺(tái)機(jī)器作為一個(gè)b站點(diǎn)的主機(jī)成為一種普遍現(xiàn)象。但僅僅因inenon，S)出現(xiàn)了。單點(diǎn)登錄最初被視為一種提高生產(chǎn)力的奢侈品，而現(xiàn)在已成為一種必需品。當(dāng)前有越來(lái)越多的身份與訪問(wèn)控制管理AM)需求來(lái)自b應(yīng)用和bevceDCCAGRWeb單點(diǎn)登錄20.8%，方便地實(shí)施希望得到的安全控制實(shí)現(xiàn)單點(diǎn)登錄后，認(rèn)證網(wǎng)絡(luò)用戶能夠利用連貫且安全的身份識(shí)別信息交換機(jī)制，在其身運(yùn)行環(huán)境或業(yè)務(wù)合作伙伴運(yùn)行環(huán)境下，便捷地在兩個(gè)應(yīng)用程序中移動(dòng)，而無(wú)需重當(dāng)今，越來(lái)越多的系統(tǒng)通過(guò)b服務(wù)、門戶和集成化應(yīng)用程序彼此鏈接，對(duì)于保證信息安全交換標(biāo)準(zhǔn)的需求也隨之日益增多。安全斷言標(biāo)記語(yǔ)言ecuyseonkupanuaeM)別信息。ML的出現(xiàn)大大簡(jiǎn)化了b單點(diǎn)登錄，并被結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織OS)bSOML，也就是說(shuō)可使用獨(dú)立、受管理的多個(gè)信息來(lái)源中的信息。ML連同b成現(xiàn)代網(wǎng)絡(luò)環(huán)境中的必備條捷捷，提高了工作效率;提供了更廣泛的訪問(wèn)信息與服務(wù);有效保護(hù)了個(gè)人信息的可能性。些數(shù)據(jù)(從數(shù)據(jù)當(dāng)前所在的地方，到現(xiàn)在正需要數(shù)據(jù)的地方)bML關(guān)注的領(lǐng)域舉一個(gè)簡(jiǎn)單的例子:用戶在一個(gè)站點(diǎn)上取得認(rèn)證授權(quán)，當(dāng)用戶需要訪問(wèn)另一個(gè)相關(guān)站點(diǎn)的資源時(shí)，目的站點(diǎn)(保護(hù)資源的持有者)能夠使用ML時(shí)ML定位Web安全方面最具挑戰(zhàn)性的一個(gè)問(wèn)題是維持一次無(wú)縫操作和安全環(huán)境時(shí),Web安全方面最具挑戰(zhàn)性的一個(gè)問(wèn)題是維持一次無(wú)縫操作和安全環(huán)境時(shí),OASIS建立的安全標(biāo)準(zhǔn)—SAML是基于XML(可擴(kuò)展標(biāo)記語(yǔ)言)Web服務(wù)的架構(gòu)通過(guò)互聯(lián)網(wǎng)對(duì)不同安全系統(tǒng)的信息交換進(jìn)行處SAML是一種語(yǔ)言，進(jìn)行單一XML描述，允許不同安全系統(tǒng)產(chǎn)生的信息進(jìn)行交換。要共享更可靠的安全服務(wù)環(huán)境，因此 安全越來(lái)越成為人們關(guān)注的重點(diǎn)問(wèn)題SAML正是為解決網(wǎng)絡(luò)安全性問(wèn)題而發(fā)揮其作用。SAML在傳統(tǒng)意義上的安全界定與商業(yè)協(xié)議或合作的一個(gè)先決條件，是要求使用SAML作為共享安全架構(gòu)的一部分SAML在標(biāo)準(zhǔn)行業(yè)傳輸協(xié)議環(huán)境里工作，例HTTP、SMTPFTP;同時(shí)也服務(wù)于各種各樣X(jué)ML文件交換框架，例SOAPBizTalk。SAML具備的一個(gè)最突出的好處，是使用戶能夠通過(guò)互聯(lián)網(wǎng)進(jìn)行安全證書移動(dòng)。也就是說(shuō)，使用SAML標(biāo)準(zhǔn)作為安全認(rèn)證和共享資料的中間語(yǔ)言，能夠在多個(gè)站點(diǎn)之間實(shí)現(xiàn)單點(diǎn)登錄SAML是一種基于XML語(yǔ)言用于傳輸認(rèn)證及授權(quán)信息的框架，以與主體相關(guān)的斷言(人或計(jì)算機(jī))，這個(gè)實(shí)體在某個(gè)安全域中擁有一個(gè)特定身。針對(duì)以上不同目的提供以下幾種不同類型的安全斷言認(rèn)證斷言Assertion):認(rèn)證斷言用來(lái)聲稱消息發(fā)布者已經(jīng)認(rèn)證特定的體屬性斷言Assertion):屬性斷言聲稱特定主體具有特定的屬性。屬性可URI(統(tǒng)一資源標(biāo)識(shí))或用來(lái)定義結(jié)構(gòu)化屬性的一種擴(kuò)展模式進(jìn)行詳細(xì)說(shuō)明決定斷言Assertion):一個(gè)決定斷言報(bào)告了一個(gè)具體授權(quán)請(qǐng)求的結(jié)果授權(quán)斷言源的特別許可Assertion):授權(quán)斷言聲稱一個(gè)主體被給予訪問(wèn)一個(gè)或多SAML斷言以XML結(jié)構(gòu)描述且具有嵌套結(jié)構(gòu)，由此一個(gè)斷言可能包括幾個(gè)關(guān)授權(quán)和屬性的不同內(nèi)在斷言(包括認(rèn)證聲明的斷言僅僅描述那些先前發(fā)生的認(rèn)證行為)在 年底，隨著監(jiān)控、移動(dòng)設(shè)在 年底，隨著監(jiān)控、移動(dòng)設(shè)備、寬帶業(yè)務(wù)以及應(yīng)用安全領(lǐng)域的四家主要廠商通了最后一回合的聯(lián)邦身份互操作性測(cè)試，自由聯(lián)盟Alliance)公布2.0SAML2.020053OASIS批準(zhǔn)。LibertyAlliance的廠商把SAML加入到他們的產(chǎn)品線中通過(guò)互操作性測(cè)試的有四種產(chǎn)品，分別是IBMTivoliFederatedIdentityManagerNEC的MobileInternetPlatformNTTCommunication的I-dLive寬帶與網(wǎng)絡(luò)服務(wù)身份聯(lián)邦工具以及RSASecurityFederatedIdentityManager。為了證明其互操作性，每個(gè)產(chǎn)品必須能夠與至少兩個(gè)廠商共享一個(gè)給定的SAML文件OracleSun20057SAML2.0宣稱已經(jīng)有超過(guò)70種產(chǎn)品被授予了SAMLLibertyAllianceConformanceExpertGroup的主RogerSulliva說(shuō):“互操作性是必須的。點(diǎn)都能做到即插即用，這個(gè)標(biāo)準(zhǔn)才能起作用。主流標(biāo)準(zhǔn):SAML 中的WS-Federation規(guī)格說(shuō)明書卻沒(méi)有加入進(jìn)來(lái)，人們預(yù)計(jì)它明年會(huì)跟有些人對(duì)Sedeaion的出現(xiàn)是否會(huì)在與ML慮，ulvan認(rèn)為那將是兩敗俱傷的結(jié)局。他說(shuō)支持所有的標(biāo)準(zhǔn)。MicrosoftIBM在建立WS-Federation方面很積極。Microsoft的產(chǎn)品現(xiàn)在還SAML證書IBMTivoli產(chǎn)品現(xiàn)在已經(jīng)支SAMLWS-Federation隨著新的 服務(wù)安全標(biāo)準(zhǔn)被批準(zhǔn)，Sullivan相信SAML會(huì)被采納、贊同并獲得優(yōu)地位公司軟件技術(shù)顧問(wèn)王志剛在接受記者采訪時(shí)表示，目前業(yè)界基本上是兩大陣營(yíng)以前，聯(lián)邦身份一直受到標(biāo)準(zhǔn)過(guò)多問(wèn)題的困擾。5個(gè)不兼容的協(xié)議(OASISSAML1.0和1.1、自由聯(lián)ID-FF1.11.2Shibboleth)給企業(yè)和消費(fèi)者的應(yīng)用帶來(lái)了麻煩，延緩了關(guān)鍵特性或功能的支持空隙 消除了阻礙進(jìn)一步采用聯(lián)邦身份的最大障礙—多協(xié)議復(fù)雜性，因而大大改 項(xiàng)標(biāo)準(zhǔn)中。由于SAML2.0代表5個(gè)前任協(xié)議中所有功能性的集合，因此它將淘汰以前的協(xié)SAML2.0說(shuō)明實(shí)現(xiàn)聯(lián)邦的兩個(gè)角色。服務(wù)提供者是為用戶提供應(yīng)用或資源的實(shí)體在進(jìn)行單一登錄時(shí)，身份提供者負(fù)責(zé)創(chuàng)建包含用戶身份的SAML斷言，然后安全地ML利SAML，網(wǎng)絡(luò)服務(wù)不需要借助安全認(rèn)證機(jī)構(gòu)就可驗(yàn)證令牌的有效性，不僅點(diǎn)登錄步驟，還帶來(lái)了許多傳統(tǒng)單點(diǎn)登錄方式所不具備的優(yōu)點(diǎn)1.SAML為認(rèn)證聲明和認(rèn)證屬性建立了一1.SAML為認(rèn)證聲明和認(rèn)證屬性建立了一個(gè)數(shù)據(jù)格式，其參數(shù)取決于安全服務(wù)產(chǎn)生的ML2.SAML針對(duì)不同的安全系統(tǒng)提供了一個(gè)共有的框架，允許企業(yè)及其供應(yīng)商、客戶與SAML是通XML對(duì)現(xiàn)有的安全模式3.SAML的消息格式能夠從一個(gè)源站點(diǎn)(站點(diǎn)起到SAML認(rèn)證管理機(jī)構(gòu)的作用)將斷言到全面的簡(jiǎn)單點(diǎn)登錄是個(gè)熱門概念，所有身份與訪問(wèn)控制管理IM)產(chǎn)品中都有單點(diǎn)登錄的身影。ML士請(qǐng)教，我大概明白了一二根據(jù)我的理解，首先，單點(diǎn)登錄可以分為企業(yè)內(nèi)部的單點(diǎn)登錄和Web單點(diǎn)登錄兩果企業(yè)內(nèi)的應(yīng)B/S架構(gòu)，或者企C/S架構(gòu)、B/S架構(gòu)和Telnet應(yīng)用，想實(shí)現(xiàn)單同一企業(yè)的不同分支機(jī)構(gòu)之間實(shí)現(xiàn)單點(diǎn)登單點(diǎn)登錄則是更好的選擇其次，Web單點(diǎn)登錄已經(jīng)有了統(tǒng)一的標(biāo)準(zhǔn)，就是SAML2.0。而企業(yè)內(nèi)部的單點(diǎn)登內(nèi)，企業(yè)內(nèi)部單點(diǎn)登錄的應(yīng)用較多，而Web 當(dāng)今，越來(lái)越多的系統(tǒng)通Web服務(wù)、門戶和集成化應(yīng)用程序彼此鏈接，對(duì)于保證欲交換數(shù)據(jù)和身份識(shí)別信息。這里的一個(gè)關(guān)鍵概念是身份聯(lián)邦，它可滿足SAML的定義就是說(shuō)可使用獨(dú)立、受管理的多個(gè)信息來(lái)源中的信息，從而實(shí)現(xiàn)身份嚴(yán)整這樣的安全服務(wù)連同單點(diǎn)登錄（SSO）共同構(gòu)成現(xiàn)代網(wǎng)絡(luò)環(huán)境中的必備的條件揭開(kāi)SAML的神秘面大。每個(gè)系統(tǒng)都是一個(gè)孤島，大。每個(gè)系統(tǒng)都是一個(gè)孤島，各系統(tǒng)都要求用戶擁有一個(gè)賬戶才能訪問(wèn)該系統(tǒng)這種方法有許多明顯的缺點(diǎn).舉例來(lái)說(shuō),設(shè)置多個(gè)賬戶,，統(tǒng)還必須單獨(dú)地去升級(jí)隨著萬(wàn)維網(wǎng)的出現(xiàn)，多臺(tái)機(jī)器作為一個(gè)b站點(diǎn)的主機(jī)成為一種普遍現(xiàn)象。但僅僅因?yàn)橛脩粢褂貌煌臋C(jī)器處理不同的請(qǐng)求而強(qiáng)迫他們多次在網(wǎng)絡(luò)上進(jìn)行登錄顯然是令人無(wú)（SO）單一、集成式系統(tǒng)的情況下。同時(shí)，移動(dòng)信息還會(huì)增加數(shù)據(jù)在傳輸中丟失和被竊的可能性。些數(shù)據(jù)————b單點(diǎn)登錄，同樣需要一種標(biāo)準(zhǔn)使這種跨不同產(chǎn)品的傳送成為可能。這就是SAML關(guān)注的領(lǐng)域?qū)⑺信c檢索、傳輸和共享安全信息相關(guān)的功能標(biāo)準(zhǔn)化為以下形式定義這些消息與SOAP等協(xié)議協(xié)作的方式。WebSSO這樣的常見(jiàn)用例定義精確的消息交換支持眾多種隱私保護(hù)機(jī)制，包括在不披露用戶身份的情況下確定用戶屬性的功能提供提供一種系統(tǒng)的元數(shù)據(jù)機(jī)制，使得所有參與其中的系統(tǒng)能就所支持通訊 選項(xiàng)進(jìn)此外的設(shè)計(jì)特別關(guān)注了靈活性。遇到標(biāo)準(zhǔn)尚未涵蓋的需求時(shí)可擴(kuò)展一個(gè)聯(lián)邦環(huán)境至少包括三個(gè)角色信任方——利用身份信息；具代表性的信任方ServiceProvider，由其決定允許何種求斷言方——提供安全信息；SAML稱之為“IdentityProvider”。任何環(huán)境下都會(huì)有許多主題和數(shù)個(gè)ServiceProvider。也可能存在多個(gè)IdentityProvider基本上，ServiceProvider或信任方需要了解三件事情身份信息產(chǎn)生請(qǐng)求的一方請(qǐng)求的用戶提供身份信息的IdentityProvider是可信任在MLdnyovder兩類最重要的的報(bào)告。SAML提供了超20種不同身份驗(yàn)證方法的詳細(xì)定義。身份驗(yàn)證語(yǔ)句支SSO，其IdentityProviderServiceProvider進(jìn)行登錄。一種斷言可同時(shí)攜帶這兩種類型的語(yǔ)句。也可以自行定義其他語(yǔ)句類型。實(shí)際上已經(jīng)定義一個(gè)可傳送策略的語(yǔ)句和一個(gè)通訊授權(quán)決策結(jié)果的語(yǔ)句SAML的強(qiáng)項(xiàng)之一就是其靈活性。IdentityProvider能對(duì)斷言進(jìn)行數(shù)字簽名。而且它還可選擇使用其它像SSL這樣的方法，以確保信息的完整性。斷言可以包含一個(gè)名為SubjectConfirmatin的元素，ServiceProvider使用該元素來(lái)確定斷言中的信息是否涉及提出當(dāng)前請(qǐng)求的一方。再?gòu)?qiáng)調(diào)一下，SAMLServiceProvider采用多種手段實(shí)現(xiàn)此目SAMLIdentityProviderServiceProvider，但可以通過(guò)多種途徑實(shí)現(xiàn)這SAMLIdentityProviderServiceProvider，但可以通過(guò)多種途徑實(shí)現(xiàn)這主題能傳送斷言并將其提供給ServiceProvider。第三種選擇是通過(guò)另一個(gè)節(jié)點(diǎn)傳播斷言。在Web服務(wù)環(huán)境中，SOAP的頭SAMLXML格式的請(qǐng)求和應(yīng)答消息，ServiceProvider可使用這些消息直接獲取斷言。請(qǐng)求會(huì)指定ServiceProvider需要的信息，例如“所有約翰·史密斯的屬性”。響應(yīng)協(xié)議怎樣傳送請(qǐng)求和應(yīng)答SAMLSOAP綁定詳細(xì)說(shuō)明了怎樣在SOAP消息體中傳送信息PAOS綁定是專為無(wú)法接受但可以發(fā)送網(wǎng)絡(luò)請(qǐng)求的移動(dòng)電話這樣的設(shè)備設(shè)計(jì)的。它向后在HTTP上運(yùn)行SOAP，在HTTP應(yīng)答中傳送消息。BrowserPOST和ArtifactProfile都用于處理標(biāo)準(zhǔn)網(wǎng)絡(luò)瀏覽器的操作。在POSTProfile中，SAML請(qǐng)求在不可見(jiàn)的域中傳送形式上為經(jīng)由瀏覽器郵遞。在ArtifactProfileServiceProviderArtifact的任意位字符串，通過(guò)一條專用后備信道使用它來(lái)響應(yīng)的斷言SAML還為支持聯(lián)邦身份環(huán)境提供了其他許多有用的機(jī)制。一種協(xié)議允許ServiceProvider確定通過(guò)將來(lái)自幾個(gè)可能的IdentityProvider的特定用戶請(qǐng)求指示到何處。另一個(gè)協(xié)議允許兩個(gè)IdentityProvider將他們各自擁有的同一用戶賬戶關(guān)聯(lián)在一起。例如，一個(gè)IdentityProviderJohnSmithProviderJonathanK.Smith（正常情況下，出于隱私方面原因，這種關(guān)聯(lián)需要用戶的許可。dnyoiderBC123ohnthovde則將BC123與onhn.mh后將使用一個(gè)完全不同的主題防止第三方偵測(cè)使用模式SAMLServiceProviderIdentityProvider一個(gè)銷的機(jī)制。還有許多其他有用的SAML特性，其包含的功能如下加密全部斷言，也可選擇僅對(duì)其敏感部分加密指定一個(gè)斷言的目標(biāo)用的文標(biāo)準(zhǔn)中還包含各種功能結(jié)合的詳細(xì)一致性指標(biāo)，和一個(gè)討論安全和隱私考慮提供了一組有用的機(jī)制，可在規(guī)模龐大的環(huán)境中實(shí)現(xiàn)聯(lián)邦身份管理。它盡可能細(xì)地指定了絕大部分實(shí)際情況，從而提供了出色的交互性。對(duì)于獨(dú)特的需求和未來(lái)的需求而言，它還是可擴(kuò)展簡(jiǎn)的需求而言，它還是可擴(kuò)展簡(jiǎn)安全是所有b項(xiàng)目在設(shè)計(jì)時(shí)都要考慮的一個(gè)重要因素。無(wú)論是選擇最短口令，決定SLTPooe的設(shè)計(jì)努力，以保護(hù)用戶的身份信息和他們可能存放于b站點(diǎn)的其他資料。糟糕的安全私政策，需要牢記眾多站點(diǎn)的不同口令，以及遭遇“釣魚(yú)式攻擊”beyAiance和denGang都正試圖通過(guò)開(kāi)發(fā)新的技術(shù)標(biāo)準(zhǔn)來(lái)解決它們。在較小的規(guī)模上，可以使用一些工具來(lái)為用戶提供更好的安全性。請(qǐng)考慮口令管理問(wèn)題。用戶訪問(wèn)他們保存?zhèn)€人資料的b站點(diǎn)，在可以存取他們的資料之前必須經(jīng)過(guò)驗(yàn)證。通過(guò)驗(yàn)證來(lái)鑒別用戶，確保他們是所聲稱的用戶。進(jìn)198年微軟首先嘗試通過(guò)其apotneok提供該問(wèn)題的全球解決方案。apotbapot（號(hào)）成為可能。pot是單點(diǎn)登錄（nlenon，SO）的第一次電子商務(wù)嘗試。它沒(méi)有流行起來(lái)，部分原因是由于人們對(duì)系統(tǒng)封閉性的擔(dān)心。然而，SO的理念非常引人注目，apotSOb共享用戶身份信息。SO對(duì)于使用應(yīng)用服務(wù)提供商（ppaonevceovder，P）軟件服務(wù)的企業(yè)特別有用。P在自己的服務(wù)器上宿主應(yīng)用程序，出售其訪問(wèn)權(quán)作為服務(wù)。SO授予用戶訪問(wèn)SP應(yīng)用程序的權(quán)限。SO。對(duì)用戶來(lái)說(shuō)，O的好處在于他們可以在多個(gè)應(yīng)用程序中使用一個(gè)用戶名和口令，并且在應(yīng)用程序之間切換時(shí)無(wú)需重新驗(yàn)證。O不僅僅用于b應(yīng)用程序，它可用于任何類型的記語(yǔ)言（SAMLSAMLSSO提供了一個(gè)安全的協(xié)議。SAML（讀作“sam-ell”）是允Web站點(diǎn)安全站點(diǎn)使SAMLXML詞匯表和請(qǐng)求/應(yīng)答模式，通HTTP交換身份信息。這種信息共享標(biāo)準(zhǔn)化能幫Web站點(diǎn)與多個(gè)合作伙伴集成，避免由于為不同合作伙伴設(shè)計(jì)和維護(hù)各自成的SAML1.1。雖然于2005年完成的SAML2.0引入了支持身份聯(lián)邦的一些重要新功BEAWebLogicServer9.x支持SAML1.1，因此本文將重SAML1.1安全地共享數(shù)字身份信息(二安全地共享數(shù)字身份信息(一我們來(lái)看一個(gè)非?；镜腗L示例。顧名思義，M我們來(lái)看一個(gè)非?；镜腗L示例。顧名思義，ML的核心元素是安全性斷言。ML””斷言并信任它們的站點(diǎn)叫“信任方”或“目標(biāo)站點(diǎn)”訪問(wèn)目標(biāo)站點(diǎn)。1顯示了源站點(diǎn)和目標(biāo)站點(diǎn)之間能使用戶通過(guò)單點(diǎn)登錄訪問(wèn)雙方站點(diǎn)的1：一SAML示例場(chǎng)4SAMLHTTPSOAP消息發(fā)送。消<!--ThisrequestwouldbewrappedinaSOAPenvelope--Issu