保證Web服務(wù)安全的SAML

申請免費試用、咨詢電話：400-8352-114

保證Web服務(wù)安全的SAML

安全聲明標記語言(Security Assertion Markup Language，SAML)是一種實現(xiàn)Web服務(wù)安全產(chǎn)品之間互操作的建議標準。SAML可以保證端到端、機構(gòu)內(nèi)部以及從企業(yè)到企業(yè)的安全性，具有成為互操作性標準的潛力。即將得到“促進結(jié)構(gòu)化信息標準組織”批準的SAML 1.0能夠與XML和簡單對象訪問協(xié)議(SOAP)配合使用。隨著企業(yè)越來越多地在Web服務(wù)環(huán)境中部署接入管理解決方案和其他安全產(chǎn)品，SAML開始表現(xiàn)出強大的威力。

SAML 1.0定義了安全域與策略域之間的基于SOAP的互動，支持Web一次登錄(SSO)、認證和授權(quán)。SAML 1.0定義了請求和回答信息，安全域交換這些信息來保證認證決定、授權(quán)決定和屬于特定用戶與資源的屬性。SAML 1.0還定義了認證權(quán)威機構(gòu)、屬性權(quán)威機構(gòu)、策略決定點和策略執(zhí)行點等功能性實體。

在具有SAML功能的Web SSO環(huán)境中，用戶可以通過ID/口令等認證技術(shù)登錄到主域或源域中。源域利用包含SAML“認證聲明”和“屬性聲明”的信息，向一個或多個目的域發(fā)送認證決定以及為這一決定提供安全環(huán)境的其他信息。

SAML環(huán)境

在支持Web SSO和瀏覽器/ artifact的最基本的SAML 1.0互操作性環(huán)境中，用戶可以通過以下操作實現(xiàn)與具有SAML功能的Web網(wǎng)站互動。

● 用戶的瀏覽器通常通過HTTP/安全套接層(SSL)訪問源站點(站點起到SAML認證管理機構(gòu)的作用);

● 源站點要求瀏覽器提供用戶ID和口令；

● 瀏覽器通過輸入用戶ID和口令，回答源站點的詢問；

● 源站點調(diào)用外部認證服務(wù)器(如輕型目錄訪問協(xié)議目錄)認證瀏覽器；

● 瀏覽器通過點擊源站點上的通用資源標識(URI)，請求保存在目的服務(wù)器上的特定資源，從而重新定向到源站點的“站點間傳輸服務(wù)”URL上；

● 源站點保持會話并生成一個生存期暫短的SAML認證，來聲明一個事件已經(jīng)發(fā)生(根據(jù)認證聲明上的條件以及被請求的目的服務(wù)和資源定義的策略);

● 源站點將聲明信息保存在本地緩存中；

● 源站點利用SSL將一個包含SAML artifact(一種8字節(jié)Base64串)的URI返回給瀏覽器，這個附加的SAML artifact指向認證聲明并將瀏覽器改向連接到請求的目的站點和資源；

● 目的站點使用SAML artifact從源站點請求/索取這個引用的認證聲明(通常通過SSL會話);

● 目的站點保持會話，解析/驗證認證聲明信息，并批準瀏覽器對請求資源的訪問。

工作原理

作為一項為Web服務(wù)提供安全保護的建議標準，SAML的工作原理如圖所示。

1、 最終用戶的瀏覽器訪問認證服務(wù)器，認證服務(wù)器詢問用戶ID和口令。

2、 最終用戶輸入ID和口令。認證服務(wù)器檢查LDAP目錄，然后認證最終用戶。

3、 最終用戶從目的/Web服務(wù)器請求資源，認證服務(wù)器開始與目的服務(wù)器的一次會話。

4、認證服務(wù)器給最終用戶發(fā)送URI，最終用戶的瀏覽器被指向URI，URI將最終用戶聯(lián)接到Web服務(wù)。

同任何標準一樣，檢驗SAML 1.0能否成為真正標準的決定因素在于是市場的接受程度以及它能否推動Web服務(wù)發(fā)展。為了使SAML真正成為標準，Web安全解決方案廠商正在認真解決支持不同SAML 1.0產(chǎn)品互操作性所面臨的許多技術(shù)問題。