SAML标准&协议(一)

日期: 2007-12-25 来源:TechTarget中国

  SAML是OASIS制定的一种安全性断言标记语言,它用于在复杂的环境下交换用户的身份识别信息。在SAML诞生之前,如果想在Websphere、Weblogic和SunONE等之间实现SSO,我们必须分别实现一个适配层,来达成一种相互理解的协议,在该协议上,产品能够共享各自的用户认证/授权信息。SAML诞生之后,我们免去了这种烦恼。可以预计,将来大部分产品都可以实现基于SAML的联邦服务。

  事实上,SAML已经在很多商业/开源产品中得到实现,包括:
  IBM Tivoli Access Manager
  Weblogic
  Oblix NetPoint
  SunONE Identity Server
  Baltimore, SelectAccess
  Entegrity Solutions AssureAccess
  Internet2 OpenSAML
  Yale CAS 3
  Netegrity SiteMinder
  Sigaba Secure Messaging Solutions
  RSA Security ClearTrust
  VeriSign Trust Integration Toolkit
  Entrust GetAccess 7

  SAML背后是强大的商业联盟和开源联盟,尽管Microsoft迟迟未能在SAML2.0观点上达成一致,但它也正努力跟进SAML标准化过程,由此可见SAML协议已经是势在必行。

  1 SAML的基本概念

  理解SAML的概念很重要,个人认为SAML协议的原理跟CAS/Kerberos很类似,理解上不存在困难,但SAML引入了一些新的概念名词,因此要先把握清楚这些概念。

  断言,这个在SAML的”A”,是整个SAML协议中出现的最多的字眼,我们可以将断言看作是一种判断,并且我们相信这种判断,因此,做出断言的一方必须被信赖。校验来自断言方的断言必须通过一些手段,比如数字签名,以确保断言的确实来自断言方。

  SAML目标是让多个应用间实现联邦身份(IdentityFederation),提起联邦,大家可以想象一下欧盟,欧盟国家之间的公民都具有一个联邦身份,比如Peter是法国公民,John是比利时公民,这两个公民的身份都能够互相被共享,恰好,张三是一个中国公民,但他能像Peter和Jhhn那样随意进入欧盟国家,显然不能,因为它不具有欧盟联邦身份。

  理解了联邦的概念,我们就可以回到SAML上,SAML解决了联邦环境中如何识别身份信息共享的标准化问题,比如,法国的Peter进入比利时,他如何证明自己的身份呢?

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐

  • 在SOA和云中我们真的需要身份传递吗?

    IT开发者,尤其IT安全专家已经为创建一个企业级的身份控制机制奋斗了多年。在这一领域最广为人知的倡议和模型就是单点登陆。

  • 云单点登录升级便利牺牲安全?

    对于服务提供商来说,管理单一云服务安全富有挑战性,更不必说多个云服务了。但是很多企业正在从事多个云战略,似乎又与客户不复杂的且防弹的安全策略相冲突。

  • OAuth协议获得网络服务安全协议授权

    使用基于令牌(token-based)的安全模式,导致OAuth(开放授权)协议最近在安全和服务界备受瞩目。尽管OAuth并不是人人皆知的词语,但是也会逐渐为人们所熟知。最著名的OAuth应用就是Facebook平台。

  • 从SOA到云计算:软件服务安全进化

    在某种程度上,云安全的状态取决于对其的观点。危言耸听者(那些半吊子家伙们)将其看作是“狂野西部(Wild West)”,而云支持者又认为这些关注点是过分夸大的。