什么是SAML

日期: 2007-12-25 来源:TechTarget中国

  当今,越来越多的系统通过Web服务、门户和集成化应用程序彼此链接,对于保证欲共享的信息安全交换的标准的需求也随之日益显著起来。SAML(安全性断言标记语言,Security Assertion Markup Language)提供了一个健壮且可扩展的数据格式集,在各种环境下交换数据和身份识别信息。这里的一个关键概念是身份联邦,它可满足SAML的定义,也就是说可使用独立、受管理的多个信息来源中的信息,从而实现身份严整这样的安全服务。SAML连同单点登录(SSO)共同构成现代网络环境中的必备的条件。

  身份联邦

  在大多数计算机连入网络之前,独立系统像身份验证和授权这类安全服务的实现完全是独立的。因此,执行身份验证所需的全部代码以及密钥、口令、供授权决策所用的用户信息以及授权策略本身均存放于使用这些信息的系统上。最初系统连接到网络上时,情况变化不大。每个系统都是一个孤岛,各系统都要求用户拥有一个账户才能访问该系统。

  这种方法有许多明显的缺点.举例来说,设置多个账户,每个账户有一个密码、组或其他属性,这对用户和管理员来说是非常不方便。如果一个用户的职责发生变更而修改其账户属性,或有人离开组织时删除其账户,管理员要浪费大量时间。如果出现更强大的认证方法,各系统还必须单独地去升级。

  单点登录

  随着万维网的出现,多台机器作为一个Web站点的主机成为一种普遍现象。但仅仅因为用户要使用不同的机器处理不同的请求而强迫他们多次在网络上进行登录显然是令人无法接受的。同样,门户也不能要求使用者每访问不同的应用程序就重新登录。单点登录(SSO)最初被视为一种提高生产力的奢侈品,而现在已成为一种必需品,至少在用户希望使用的是单一、集成式系统的情况下是如此。

  另外,随着互联网规模的不断增长,把一个用户的所有信息全部收集到一个地方,既不可能也不需要。不同个人和组织在与不同的对象打交道时会使用不同类型的信息,如医生掌管病历卡、经纪人知道拥有什么股票、保险代理人拥有保险规则、会计师保存财政和税款记录等等。经常性地将此信息移动到一个地点,只能使保持数据的准确性和及时更新更加困难。同时,移动信息还会增加数据在传输中丢失和被窃的可能性。

  尽管如此,为进行身份验证和授权,还是必须在网络上保留许多类型的信息。那也正是身份联邦的目的。处于授权等目的,身份联邦将来自多个数据源的同一用户数据综合在一起。不同的组织可能希望使用不同的产品去管理其身份数据,那么自然就需要制订一个在网络上传送这些数据——从数据当前所在的地方,到现在正需要数据的地方——的标准。虽然许多产品提供Web单点登录,同样需要一种标准使这种跨不同产品的传送成为可能。这就是SAML关注的领域。

 

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐

  • SAP收购CallidusCloud 与Salesforce竞争

    一直被称为后台办公巨头的SAP现在似乎也想在前台办公大展拳脚。 最新的迹象是SAP收购CallidusClou […]

  • 信息安全度量:什么是云要收集的

    CISO需要知道云安全性能的真实数据。因为C级别的高管和董事会会一直问安全管理者风险暴露相关的问题——“我们需要多高级别的安全?我们距离满足合规要求还有多少距离?”

  • 社交网络信息安全:如何规避云计算风险

    综观全局,IT 应用在近年经历了巨大的改变,在未来势必还会有更大的变化。越来越多的企业相继探索各式各样云计算技术的机会,并面对其所带来的风险。

  • API设计如龙生九子 各不相同

    IT咨询管理公司CA Technologies对API产业做了个问卷调查,问卷内容涉及API设计风格以及管理部署的新动向。调查结果表明,JSON与XML可谓两分天下。