在SAML的身份验证模型里,IdP需要一个作为身份验证用户的“记录系统”的本地存储库。通常,用户存在于本地LDAP库中。反过来说,当在SP上调用受保护的资源时,SP可以使用同一个本地LDAP库来验证用户。不过,虽然这种模式可能适用于Intranet应用,但跨站点的网络应用上是不可行的,并且实际上没有利用SAML SSO断言模型。
另外,通过配置SP就可以“虚拟用户”。图3窗口描述了在WebLogic控制台上创建一个声明方来授权虚拟用户。基于传入的断言,SP中这个可配置的选项允许SAML身份断言器实例化用户和组的Principal(s)。这个配置也要求SAML验证提供者为安全界限做一些配置。
……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在SAML的身份验证模型里,IdP需要一个作为身份验证用户的“记录系统”的本地存储库。通常,用户存在于本地LDAP库中。反过来说,当在SP上调用受保护的资源时,SP可以使用同一个本地LDAP库来验证用户。不过,虽然这种模式可能适用于Intranet应用,但跨站点的网络应用上是不可行的,并且实际上没有利用SAML SSO断言模型。
另外,通过配置SP就可以“虚拟用户”。图3窗口描述了在WebLogic控制台上创建一个声明方来授权虚拟用户。基于传入的断言,SP中这个可配置的选项允许SAML身份断言器实例化用户和组的Principal(s)。这个配置也要求SAML验证提供者为安全界限做一些配置。这个配置使用户以虚拟用户身份登录这个虚拟用户,和任何本地的已知用户都没有对应关系。
图3 在WebLogic服务器10.3控制台上创建一个断言方的视图
确切地说,创建断言方窗口捕获了下述信息:
作者
翻译
相关推荐
-
SAML2.0特性分析
在Oracle WebLogic或者任何其他应用服务器中,中间件的错误检测和解决方案,允许同时为IdP和SP进行SAML安全调试和/或直接“跟踪”日志……