Shibboleth:用户认证的通道

Shibboleth的目的是对用户进行统一的认证。通过用户所属的源站点对用户进行认证和授权,从而使得联盟中各个站点能够对用户进行认证和授权。 

创新互联公司于2013年创立,是专业互联网技术服务公司,拥有项目网站设计、成都网站建设网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元揭东做网站,已为上家服务,为揭东各地企业和个人服务,联系电话:028-86922220

Shibboleth组件与协议

Shibboleth中包含7个部分组件,其中5个为Shibboleth实现,2个需要用户实现。

SP端(target)

SP(Service provider)端是资源/服务提供端,主要作用是过滤用户的资源请求,并向该用户所在的IdP查询用户的属性,然后根据属性作出允许或拒绝访问资源的决策。

SHIRE

资源的保护者。过滤HTTP请求,当遇到指定的HTTP请求时,向SHAR发送用户属性查询句柄(AQH)。经过一些列处理后SHAR会返回用户属性。通过用户属性中规定的用户权限,决定用户对资源的权限。同时,SHIRE还要完成对用户属性句柄的请求操作。

SHAR

用户属性的缓存。通过发送AQM与IdP中的AA联系,取得用户属性,然后通过cookie形式缓存下来,当SHIRE查询用户属性时,通过检查cookie以及与AA联系等操作,返回用户属性。因此,何时向AA发送AQM,当AA返回ARM时SHAR该如何处理,何时向SHIRE报告用户属性,这需要一套机制,也是APP(attribute acceptance policy)存在的原因。

WAYF

WAYF是系统中的一个组件,用以完成IdP站点名与HS之间的映射。同时,WAYF会向HS发送“浏览器发送配置文件”,从而引发HS一系列的反应,最后使得HS向SHIRE的某个特定的URL返回“浏览器辅助诊断文件”。

IdP端(origin)

IdP是身份提供端,主要作用是向SP提供用户属性,以便使SP根据用户属性对用户操作授权。

HS

用户身份的鉴别机构。HS的主要作用是等待SHIRE发送的“浏览器发送配置文件”,当接受到该文件时,通知AA与CA进行相应的处理,然后返回“浏览器辅助配置文件”给SHIRE。

AA

用户属性的生成机构,决定是否生成用户属性。通过判断用户的session,来判断使用已经存在的用户属性,还是生成新的用户属性,同时保持用户的session。因此,AA中定义了ARP(用户属性颁布策略),用以决定是否生成用户属性,何时发送用户属性。同时AA要完成与SHAR的通信,通过AQM与ARM完成AA发布用户属性的操作。

CA

认证中心。主要作用是完成对用户的认证,存储用户的权限,当需要对用户进行认证与权限请求时,验证用户的USER/PASS或者验证用户的证书,完成对用户的鉴别。

用于通信的消息

Shibboleth作为SAML的一种实现,需要完成用户/浏览器、源端和目的端之间的通信。SAML中规定的配置文件和查询/响应协议,Shibboleth都进行了完整的实现。查询/响应协议规定了AA与SHAR之间的协作和通信;配置文件规定了SHIRE、WAYF和HS之间的协作与通信。

浏览器发送配置文件

Shibboleth中包含了两种浏览器发送配置文件:SHIRE发送给WAYF的和WAYF发送给HS的。

1. 用户发往WAYF的浏览器发送配置文件:当SHIRE遇到不能识别的用户时,它将用户重定向到WAYF服务器,同时发出用户句柄请求。此时,用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过WAYF服务器中的认证表单,选定所属的IDP,并将该表单提交给WAYF。

2. WAYF发给HS的浏览器发送配置文件:当WAYF将用户所属IDP与该IDP的HS服务器映射后,将用户浏览器重定向到该HS服务器。此时,用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过填写所属IDP的认证中心提供的表单,提交用户名/密码等相关信息完成认证。

浏览器辅助配置文件

当用户通过HS完成所属站点的身份认证后,该HS将用户浏览器重定向到远程SP中用户句柄接收地址,同时附上表单,表单中填写用户句柄和其他相关信息(包括存储用户信息的AA所在位置、用户请求资源连接等)。因为这些信息均以表单形式提供,但均不是浏览器提交,而是HS提供的,在该过程中浏览器仅仅是提供传输表单等信息的功能,因此该配置文件称为浏览器辅助配置文件。

AQM(属性查询消息)

AQM是从SHAR发往AA的消息,通过XML实现。

ARM(属性应答消息)

ARM是从AA发往SHAR的消息,通过XML实现,包含如下几个部分。

1.该消息所属协议版本号、对应于请求消息的标识和该应答消息的唯一标识。

2.用户属性查询句柄(AQH)或用户的证书。

3.该用户属性的合法性约束(比如过期时间)。

4.0个或多个用户属性。

协议绑定

SAML 指出,通信的消息可以与多种通信协议绑定。Shibboleth中实现了SOAP的绑定,AQM和ARM均使用SOAP负载。

Shibboleth的更多分析内容请看:Shibboleth:应用场景

 【编辑推荐】

  1. 简化VPN身份认证
  2. 简介SMTPi的身份认证技术
  3. 中国用户对强身份认证最积极
  4. 2009数据中心变化之IT身份认证
  5. 分布式用户认证为单点登录护航 上篇
  6. 确保网上银行安全的多重身份认证方案
  7. 网络购物安全需警惕 身份认证谁说了算

新闻名称:Shibboleth:用户认证的通道
文章源于:http://www.shufengxianlan.com/qtweb/news34/482284.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联