摘要:
saml
和xacml在基於xml的安全認證體系中扮演不同的角色,但同樣重要。設計許可權訪問控**務,特別要實現跨組織、跨域、跨應用系統的統一安全訪問控制,不能不了解saml。
saml overview
安全斷言標記語言(saml,security assertion markup language)由oasis基於xml安全服務技術委員會(sstc,oasis xml-based security services technical ***mittee)開發。saml是一種基於xml的用於交換安全資訊的框架。在這個框架下,安全資訊被表達為關於主體(subject)的斷言(assertion),而這個主體就是某一訪問場景中,處於特定域中被唯一標識的實體(人或電腦)。乙個典型的主體例子就是在某inter*** dns域裡面的用email唯一定位的某位操作者人。斷言可以根據主體、主體的屬性、授權等資訊來轉換計算出(安全)驗證資訊(如:該主體是否被允許訪問某資源等)。斷言被表達為xml格式,並具有巢狀的結構。單個斷言可以包含若干不同的節點用於記錄驗證、授權、屬性資訊的資料。注意斷言包含的安全驗證結果是對發生動作的安全驗證。斷言是saml中名稱驗證、屬性驗證、授權驗證、策略判斷等行為的驗證結果描述。saml還定義了乙個客戶端向saml安全驗證傳送斷言請求以及回應(request/response)的協議。這個協議包括對基於xml的請求/回應訊息格式的定義。這些訊息可以被繫結到很多主流的交換傳送協議上,當然,現在saml只實現了乙個繫結――soap,通過它可以實現基於http的安全驗證請求和回應。
why saml?
為什麼需要saml?主要4個方面:
l瀏覽器cookie的侷限性:大多數sso(single-sign on,單點登入)產品都使用瀏覽器的cookie來保持登陸狀態以避免二次登入帶來的開銷。但瀏覽器cookie不能在跨越dns命名域作用。所以,如果在「.abc.***
」獲得乙個cookie,不能被任何http訊息傳送到「.xyz.***
」。而這樣的需求對於很多企業組織跨dns命名域構建時便不能被滿足。所以,要解決跨域sso(cdsso,cross-domain sso)問題,就需要使用其它技術了。所以的sso產品在解決cdsso問題都是採用非cookie的技術了。
lsso互操作的需要:單點登入產品如何實現sso或cdsso是完全因產品而異的。如果同一組織是跨dns命名域構建,或你的應用需要組織和組織外的業務夥伴協作,有cdsso的要求,這樣你必須在所有的域中採用同一sso產品解決方案。這時,saml是解決方案提供商可以常依靠的技術。
lweb services的應用需要:在web services中使用的安全標準還在定義中。大多數的注意力都集中在如何在點到點的基礎上提供機密性、授權完成性解決方案。saml標準提供了這樣的標準,身份認證和認證斷言等資訊可以在相互通訊的組成部分間交換。
l組織聯合的需要:跨組織邊界的簡單定位管理的需要,這使得使用者能裁減合併若干不同的定義標準為單一定義標準(或者,至少可以減少標準的數量)。
cas和saml 揭穿SAML神話和誤解
cas和saml 作為新手,saml規範正在與現有的單點登入技術,身份驗證服務和目錄服務進行比較。saml是可能利用身份驗證協議的第乙個協議,以利用web基礎結構,其中xml資料通過tcp ip網路上的http協議移動。oasis小組將saml開發為用於交換安全資訊的基於xml的框架。saml與其他...
SAML2 0入門指南
openid connect 協議入門指南 opensaml示例 saml在單點登入中大有用處 在saml協議中,一旦使用者身份被主 身份鑑別伺服器,identity provider,idp 認證過後,該使用者再去訪問其他在主站註冊過的應用 服務提供者,service providers,sp 時...
SAML標準提高網路安全性
網際網路安全方面最具挑戰性的乙個問題是維持一次無縫操作和安全環境時,使各不相同的安全系統達到一體化。由於一些公司經常需要通過網路來交換機密的資料或資料,因此,對於安全意義非常重大的web服務來說,對這種功能的要求尤為重要,比如進行電子商務活動。結構化資訊標準促進組織 oasis 建立的安全標準sam...