IdP和SP错误的有效解决方案

　　在Oracle WebLogic或者任何其他应用服务器中，中间件的错误检测和解决方案，允许同时为IdP和SP进行SAML安全调试和/或直接“跟踪”日志是一个标准测试过程。为Web应用浏览器认证使用SAML时，另一种工具是tcpmon。tcpmon是一个在TCP连接上监视数据流动的开源工具，在客户端和服务器之内与两者之间通过配置来使用。

　　如果使用Firefox为Live HTTP头进行单元测试，tcpmon是一个很好的插件，用来测试要求的SAML身份验证的网站重定向。在HTTP协议层，为了调试SP和Idp如何在验证和断言处理期间重定向浏览器，Live HTTP标题是很有用的。

　　建立伙伴信任关系

　　如参考文章所言，关键配置要求不只配置一个仅有的私钥。这种处理类型只对开发模式有好处。我们强烈推荐从一个如VeriSign这样有效的证书颁发机构获得一个完全可信的证书。

• 　　为可信任伙伴的SAML集成，至少需要两条关键因素：
• 　　用于SP网站上的断言消费服务的私钥为IdP(见图一)提供了SSL客户端身份验证功能（见图一）。

　　从断言方来的断言用来验证签名公钥或可信任的证书。这个证书必须在SAML身份断言器的证书注册表中注册过，必须为浏览器/POST 注册信息所配置。

　　生产环境与独立

　　需要SSO或跨域集成的中间件应用通常要求中间件环境下的高度可扩展性或容错复制。就中间件SAML安全模型而言，除了要求源站点和目标网站URLs的模型不受到影响，还要反映虚拟地址的负载均衡。

　　启示：SAML2.0特性

　　对很多组织来说，最有可能是根据新特性是否具有足够的吸引力迫使软件组织决定转向SAML2.0：

• 升级访问管理器的应用；
• 重新设计SP配置，并且；
• 重写应用逻辑。

　　SAML2.0包含一个单点退出协议，它几乎同时支持Web SSO参与者会话的注销。对于SAML1.1，这种“普遍注销”功能必须结合IdP内在的Cookie管理行为来设计。例如，在验证和实现单点登陆到多个服务的提供者后，用户可以依照身份提供者的要求自动退出所有服务提供者。<AuthenticationStatement>元素已更名为<AuthnStatement>。<AuthnStatement>元素现在支持了会话的概念，以便支持单点注销和其他会话管理要求。

　　SAML模式的可扩展性机制已经更新了。因为有利于类型扩展，XSD元素的替代者已被封掉。已经选择性地将<xs:anyAttribute> 通配符添加进结构中，就是被视为有价值的地方，因为可以添加任意属性而无需创建一个模式扩展，如，对象确认数据和SAML属性。这是一个有用的修改，因为现实世界的实现有时是要求瞬变的，传输中的信息需要包含在断言中，就像传入用户登陆的上下文。例如，一个通过了身份验证用户可能有能力从多个位置验证应用，并且该应用可能对非常有兴趣了解这个信息。

　　这篇文章曾是基于浏览器/POST配置文件。在SAML1.1中这两个原始的浏览器配置文件（Browser/Artifact 和Browser/POST）已经合并到了单一的浏览器SSO的配置文件中了。虽然增强的用户和代理SSO配置已经加入了，但又产生了两种不同的配置。

　　建议越过SAML 1.1而使用SAML 2.0不只是跟上当前技术问题，SAML 2提供了一个完整的分布式SSO体验，然而，SAML1.1有一些严重的缺陷。最后，送给持有反对意见的采纳人一句话，改变既不见得是好事，也不一定是坏事，如此而已。

　　Frank Teti是Ironworks的一位架构师，以前属于Oracle/BEA Systems SOA/BPM的实施。你可以用fteti@ironworks.com和他联系。