快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

悦博体育靠谱吗_酒文化网进入



简介

Security Assertion Markup Language (SAML) 是用于表示和互换用户身份、身份验证和属性信息的 OASIS 开放标准。SAML 正在成为创建单点登录 (SSO) 办理规划的常用技巧。对付盼望向其营业伙伴的已授权用户供给营业办事的公司,可以利用这种技巧创建 SSO 办理规划,从而跨企业联合 Web 办事资本。

请斟酌一个营业场景:您盼望自己的用户能够造访伙伴公司的营业办事。最好的 SSO 效果是,用户只需向您的企业验证身份,而不必要向其他公司验证身份。当用户造访 Web 办事资本时,可以应用 SAML 令牌通报用户身份和属性数据。因为营业和私密性问题,这些公司很可能不会把它们的多个用户目录整合为单一公用用户目录。这意味着 SAML 令牌将包孕来自外部安然域的用户身份,它们不是在营业办事供给者的用户目录中定义的。本文评论争论若何应用 IBM® WebSphere® Application Server V7.0 Fix Pack 7 中的 SAML 支持跨多个安然域界限断言 SAML 令牌,以及应用外部安然域用户身份和定制的 SAML 组属性直接做出造访节制决策。您会看到,与身份和组映射技巧比拟,根据相信关系断言外部身份和定制的组属性更轻易治理。

SAML 令牌

SAML 令牌由令牌揭橥者进行数字署名以确保令牌的完备性。营业办事供给者可以查验令牌揭橥者的数字署名,从而确认 SAML 令牌顶用户身份的真实性。查验令牌揭橥者的数字署名是查验营业伙伴之间的相信关系的根基。本文描述用于断言 SAML 令牌以在利用办事器运行时情况中创建用户安然高低文的相信模型。本文还包孕一个 EJB™ 3.0 Java™ API for XML Web Services (JAX-WS) 示例利用法度榜样,经由过程它阐明若何根据 SAML 令牌揭橥者和 Web 办事供给者之间的相信关系设置设置设备摆设摆设跨安然域 SAML 断言。您将经由过程这个利用法度榜样进修若何设置设置设备摆设摆设营业办事,从而应用 SAML 令牌做出资本造访节制决策。

应用利用办事器 SAML 令牌断言相信模型构建 SSO 办理规划有许多优点:

对付用户来说,优点是他们只需向自己的安然域验证身份,然后就能够经由过程相信关系造访营业伙伴的 Web 办事资本。用户不必要治理其他安然域的账号和身份验证数据。

对付 IT 治理员来说,显着的优点是经由过程应用基于标准的 SAML 技巧实现广泛的第三方互操作性。

对付 IT 治理员的另一个主要优点是,低落联合营业资本时的身份治理资源。不必要整合公司的用户目录,纵然这在营业场景中是可行的,这个义务也很麻烦。

对付 IT 治理员的另一个优点是,保留外部安然域中的用户身份,可以在安然和营业审计记录中包孕它们。

除非别的阐明,本文中的 WebSphere Application Server 是指利用了 Fix Pack 7 (V7.0.0.7) 或更高版本的 WebSphere Application Server V7.0。

多安然域营业场景

图 1 是一个 Web 办事联合营悦博体育靠谱吗业场景示例。图中显示三个 WebSphere Application Server 安然域,每个安然域包孕自己的用户存储库设置设置设备摆设摆设。这些安然域可以代表不合的营业单位或不合的公司。左边两个安然域中的用户发送 Web 办事消息以造访右边安然域的资本。用户在 SAML 令牌中发送他们的身份,向目标安然域指出自己的身份。Web 办事供给者应用 SAML 用户身份创建安然高低文;例如 JAAS 主体。做出资本造访节制决策必要代表客户机的 JAAS 主体。

图 1. 跨 WebSphere Application Server 安然域断言 SAML 令牌

假如这三个安然域共享一个公用用户目录,那么 Web 办事供给者只需把接管的 SAML 令牌的主体身份映射到本地用户目录中的用户条款,就可以创建代表哀求者的 JAAS 主体。假如这三个安然域并不共享公用用户目录,Web 办事供给者仍旧可以把接管的 SAML 主体身份映射到本地用户目录中的用户条款,然则必要设置设置设备摆设摆设本地用户目录。假如安然域代表零丁的公司或营业单位,每个安然域很可能有自己的用户目录。对付外部安然域和外部用户目录中的每个用户身份,治理员可以在本地用户目录中创建一个具有相同身份的条款,这基础上是一对一映射设置设置设备摆设摆设。治理员也可以把外部安然域中的所有用户身份映射到本地用户目录中的单一用户条款,这是多对一映射。在更一样平常的环境下,治理员可以设置多对多映射,把外部用户身份和组映射到本地用户目录中的某些用户身份和组。

设置用于身份映射的身份和组很繁琐,还会孕育发生一种故意思的副感化。假如某人应用蓝本只用于身份映射的用户 ID 向本地安然域验证身份,那么会发生什么呢?别的,跟着安然域数量增添,映射设置设置设备摆设摆设很可能会变得更繁杂。对付营业审计来说,也盼望知道造访资本的原用户。稍后先容的一种措施可以完全避免身份映射,可以自然地保留原本的用户身份。

本文使用 WebSphere Application Server 的 多安然域 特点。一个安然域包孕一套零丁的安然策略和设置设置设备摆设摆设数据,此中包括用户存储库设置设置设备摆设摆设。WebSphere Application Server 容许在一个谋略单元中设置设置设备摆设摆设多个安然域。假如启用全局安然性,可以设置设置设备摆设摆设至少一个安然域作为治理安然域,再在同一谋略单元中设置设置设备摆设摆设零个或多个利用安然域。治理安然域由治理子系统应用,包括支配治理器、节点代理和治理节制台利用法度榜样。假如没有定义利用安然域,治理安然域还作为利用办事器的默认安然域。利用办事器可以连接利用安然域,办事器上支配的所有利用法度榜样都应用这个安然域。

多个安然域供给更好的利用法度榜样和用户隔离。可寄身份验证领域 (TAR) 机制供给一种安然、简便的措施,可以治理来自外部安然域的用户和利用法度榜样以及对本地安然域中资本的造访,其条件前提是外部安然域是本地安然域所相信的。外部安然域用户会保留其身份,不必要针对本地用户目录查验他们。WebSphere Application Server V7.0 实现经由过程 RMI/IIOP CSIv2 协议支持 LTPA 安然令牌和 EJB 资本造访。WebSphere Application Server SAML 特点扩展了 TAR 机制,支持经由过程 Web 办事安然协讲和 SAML 安然令牌造访资本。

实际上,只要 SAML 令牌是由 Web 办事供给者所相信的令牌揭橥者揭橥的,Web 办事供给者就可以吸收来自外部安然域的 Web 办事哀求。应用 SAML 令牌中的身份和组属性来创建 JAAS 主体。不必要经由过程造访本地目录查找任何本地用户身份和属性。可以把可托外部安然域用户身份和组直接分配给本地安然角色。这种机制不涉及设置设置设备摆设摆设本地用户目录,是以显明简化了造访节制设置设置设备摆设摆设。然则,Web 办事供给者若何反省相信关系呢?

可以经由过程设置设置设备摆设摆设 WebSphere Application Server 中的 SAML 特点在三个点上履行相信关系反省。利用办事器可以反省:

SAML 令牌揭橥者的数字署名是否有效,从而反省令牌的真实性。

特定的揭橥者是否确凿可托,从而对用户身份进行 SAML 断言。

特定的揭橥者是否代表可托的安然域,等于否容许这个安然域中的用户进入目标安然域。

反省相信关系之后,Web 办事供给者可以对接管的 SAML 令牌履行断言,从而应用 SAML 令牌揭橥者名称、用户身份和可选的组成员关系属性在安然高低文中创建客户机调用者主体。安然高低文的创建基于相信关系,以是利用办事器不必要针对本地安然域的用户存储库反省 SAML 用户身份。这种基于相信关系的措施不必要在本地用户存储库中定义或映射外部安然域的用户。

假如涉及的所有安然域都是 WebSphere Application Server,那么可以完备地应用策略设置设置设备摆设摆设来设置跨安然域的 SAML 断言和造访节制,不必要其他代码。然则,WebSphere Application Server 也支持提议哀求的安然域或 SAML 令牌揭橥者不是 WebSphere Application Server(或任何 IBM 产品)的场景。SAML 规范没有指定组属性名,以是 WebSphere Application Server 可以设置设置设备摆设摆设为应用任何 SAML 属性代表用户身份和组。假如目标安然域不是 WebSphere Application Server,根据详细产品不合,可能可以经由过程设置设置设备摆设摆设或定制代码设置三个相信关系反省,然则这种设置设置设备摆设摆设越过了本文的范围。

可以按两种措施之一应用策略集和绑定设置设置设备摆设摆设把包孕外部安然域身份和组的客户机调用者主体传播给下流的 Web 办事:

可以把 Web 办事哀求中 原本的 SAML 令牌传播 到 WebSphere Application Server,在这种环境下将利用相同的相信关系反省。

也可以在 Web 办事消息 中传播全部客户机 RunAs 主体,RunAs 主体中已经包孕接管到的 SAML 令牌。

作为最佳实践,对付 Web 办事客户机和 Web 办事供给者之间的消息互换应该采纳传输级保护(例如 SSL),或者采纳消息级加密和署名,或者同时采取这两种保护机制。图 1 中应用蓝色的锁图标表示消息保护。SAML 令牌中的所有信息(包括用户身份和属性)必须由 SAML 令牌揭橥者履行数字署名。图 1 中应用血色的锁图标表示 SAML 令牌由揭橥者署名。只管本文假设所有安然域都由基于 WebSphere Application Server 的系统组成,然则也可以对其他利用办事器利用这种技巧。下一节先容 WebSphere Application Server SAML 断言相信模型。强烈建议设置设置设备摆设摆设其他厂商的利用办事器或编写代码,从而响应地实施相信关系反省。

相信模型

WebSphere Application Server 可以设置设置设备摆设摆设为根据与 SAML 令牌揭橥者的相信关系断言 SAML 令牌。在创建安然高低文以断言 SAML 令牌时,利用办事器不必要针对本地用户存储库查验 SAML 身份。WebSphere Application Server 相信模型在悦博体育靠谱吗前面提到的三个相信关系反省点上履行相信关系反省。相信关系反省的根基是 SAML 令牌由揭橥者履行数字署名。

图 2 所示的示例 SAML 2.0 发送者令牌包孕全部 SAML 令牌的数字署名。在对 SAML 令牌履行署名时,必须应用封装的署名,这意味着嵌入的署名覆盖全部 SAML 令牌。数字署名 ds:Reference 悦博体育靠谱吗URI 属性引用 SAML 令牌 ID _93B335BAA1D8B8811A1257438450816。SAML 令牌的揭橥者应用自己的私钥署名 SAML 令牌,在令牌中包孕响应的 X.509 证书。图中的 SAML 令牌图标包孕一个证书图标,这表示 SAML 令牌中嵌入的揭橥者证书。Web 办事供给者可以应用嵌入的证书中的公钥反省揭橥者数字署名的完备性,应用嵌入的证书反省揭橥者是否值得相信。

图 2. 由揭橥者履行数字署名的示例 SAML 2.0 发送者令牌

第一个相信关系反省点

第一个反省点反省揭橥者署名证书是否确凿是利用办事器所相信的 SAML 令牌揭橥者。利用办事器根据设置设置设备摆设摆设的相信存储中的证书反省接管到的证书。然后,利用办事器应用反省过的揭橥者署名证书中的公钥反省 SAML 令牌数字署名,从而反省接管到的令牌的完备性。数字署名反省确认接管到的 SAML 令牌中的信息没有被窜悛改。

在这个反省点上,利用办事器确保它只吸收来自可托揭橥者的 SAML 令牌。

第二个相信关系反省点

可以把利用办事器设置设置设备摆设摆设为针对策略集绑定设置设置设备摆设摆设反省 SAML 令牌悦博体育靠谱吗揭橥者名称属性和包孕的署名证书。为了实现最优结果,应该在策略集绑定设置设置设备摆设摆设中指定证书所有者名称和 SAML 令牌揭橥者名称,让利用办事器可以在署名证书和揭橥者名称之间建立联系。这样,利用办事器可以反省由某个令牌揭橥者(由指定的署名证书表示)署名的 SAML 令牌的揭橥者名称是否与策略集绑定设置设置设备摆设摆设中定义的揭橥者名称同等。在默认环境下,利用办事器应用 SAML 令牌揭橥者名称代表外部安然域。详细地说,利用办事器反省揭橥者是否确凿可托,从而只吸收来自特定安然域的用户。

这个反省点对付掩护利用办事器运行时完备性很紧张;当某个 SAML 令牌揭橥者被破解时,它确保侵害只限于来自这个安然域的用户,不会扩散到属于其他安然域的用户。

第三个相信关系反省点

利用办事器反省外部安然域是否可托。详细地说,SAML 令牌揭橥者名称确凿在入站可寄身份验证领域列表中定义了。利用办悦博体育靠谱吗事器有一个相信托何外部安然域的设置设置设备摆设摆设选项。为了实现最优结果,应该在可寄身份验证领域列表中显式地指定可托外部安然域。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

您可能还会对下面的文章感兴趣: