保證Web服務(wù)安全的SAML

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

保證Web服務(wù)安全的SAML

安全聲明標(biāo)記語言(Security Assertion Markup Language，SAML)是一種實(shí)現(xiàn)Web服務(wù)安全產(chǎn)品之間互操作的建議標(biāo)準(zhǔn)。SAML可以保證端到端、機(jī)構(gòu)內(nèi)部以及從企業(yè)到企業(yè)的安全性，具有成為互操作性標(biāo)準(zhǔn)的潛力。即將得到“促進(jìn)結(jié)構(gòu)化信息標(biāo)準(zhǔn)組織”批準(zhǔn)的SAML 1.0能夠與XML和簡單對(duì)象訪問協(xié)議(SOAP)配合使用。隨著企業(yè)越來越多地在Web服務(wù)環(huán)境中部署接入管理解決方案和其他安全產(chǎn)品，SAML開始表現(xiàn)出強(qiáng)大的威力。

SAML 1.0定義了安全域與策略域之間的基于SOAP的互動(dòng)，支持Web一次登錄(SSO)、認(rèn)證和授權(quán)。SAML 1.0定義了請(qǐng)求和回答信息，安全域交換這些信息來保證認(rèn)證決定、授權(quán)決定和屬于特定用戶與資源的屬性。SAML 1.0還定義了認(rèn)證權(quán)威機(jī)構(gòu)、屬性權(quán)威機(jī)構(gòu)、策略決定點(diǎn)和策略執(zhí)行點(diǎn)等功能性實(shí)體。

在具有SAML功能的Web SSO環(huán)境中，用戶可以通過ID/口令等認(rèn)證技術(shù)登錄到主域或源域中。源域利用包含SAML“認(rèn)證聲明”和“屬性聲明”的信息，向一個(gè)或多個(gè)目的域發(fā)送認(rèn)證決定以及為這一決定提供安全環(huán)境的其他信息。

SAML環(huán)境

在支持Web SSO和瀏覽器/ artifact的最基本的SAML 1.0互操作性環(huán)境中，用戶可以通過以下操作實(shí)現(xiàn)與具有SAML功能的Web網(wǎng)站互動(dòng)。

● 用戶的瀏覽器通常通過HTTP/安全套接層(SSL)訪問源站點(diǎn)(站點(diǎn)起到SAML認(rèn)證管理機(jī)構(gòu)的作用);

● 源站點(diǎn)要求瀏覽器提供用戶ID和口令；

● 瀏覽器通過輸入用戶ID和口令，回答源站點(diǎn)的詢問；

● 源站點(diǎn)調(diào)用外部認(rèn)證服務(wù)器(如輕型目錄訪問協(xié)議目錄)認(rèn)證瀏覽器；

● 瀏覽器通過點(diǎn)擊源站點(diǎn)上的通用資源標(biāo)識(shí)(URI)，請(qǐng)求保存在目的服務(wù)器上的特定資源，從而重新定向到源站點(diǎn)的“站點(diǎn)間傳輸服務(wù)”URL上；

● 源站點(diǎn)保持會(huì)話并生成一個(gè)生存期暫短的SAML認(rèn)證，來聲明一個(gè)事件已經(jīng)發(fā)生(根據(jù)認(rèn)證聲明上的條件以及被請(qǐng)求的目的服務(wù)和資源定義的策略);

● 源站點(diǎn)將聲明信息保存在本地緩存中；

● 源站點(diǎn)利用SSL將一個(gè)包含SAML artifact(一種8字節(jié)Base64串)的URI返回給瀏覽器，這個(gè)附加的SAML artifact指向認(rèn)證聲明并將瀏覽器改向連接到請(qǐng)求的目的站點(diǎn)和資源；

● 目的站點(diǎn)使用SAML artifact從源站點(diǎn)請(qǐng)求/索取這個(gè)引用的認(rèn)證聲明(通常通過SSL會(huì)話);

● 目的站點(diǎn)保持會(huì)話，解析/驗(yàn)證認(rèn)證聲明信息，并批準(zhǔn)瀏覽器對(duì)請(qǐng)求資源的訪問。

工作原理

作為一項(xiàng)為Web服務(wù)提供安全保護(hù)的建議標(biāo)準(zhǔn)，SAML的工作原理如圖所示。

1、 最終用戶的瀏覽器訪問認(rèn)證服務(wù)器，認(rèn)證服務(wù)器詢問用戶ID和口令。

2、 最終用戶輸入ID和口令。認(rèn)證服務(wù)器檢查LDAP目錄，然后認(rèn)證最終用戶。

3、 最終用戶從目的/Web服務(wù)器請(qǐng)求資源，認(rèn)證服務(wù)器開始與目的服務(wù)器的一次會(huì)話。

4、認(rèn)證服務(wù)器給最終用戶發(fā)送URI，最終用戶的瀏覽器被指向URI，URI將最終用戶聯(lián)接到Web服務(wù)。

同任何標(biāo)準(zhǔn)一樣，檢驗(yàn)SAML 1.0能否成為真正標(biāo)準(zhǔn)的決定因素在于是市場的接受程度以及它能否推動(dòng)Web服務(wù)發(fā)展。為了使SAML真正成為標(biāo)準(zhǔn)，Web安全解決方案廠商正在認(rèn)真解決支持不同SAML 1.0產(chǎn)品互操作性所面臨的許多技術(shù)問題。