基于SAML地单点登录地实现.PDF

实践与经验 ／ 基于SAML的单点登录的实现 聂 丽 (中南民族大学计算机科学学院，武汉430074) 摘要：随着互联网技术的发展和企业信息化建设的进步，很多企业在不同时间开发了多个Web 应用。用户每次进入各应用系统需要进行一次登录，大大增加了用户的工作量。单点登录 很好地解决这个问题．用户一次性登录后，即可进行无缝访问。SAML作为XML的一种 描述语言．很好地实现了信息的描述和信息的安全共享。 关键词：安全标记性语言；单点登录；身份认证 0 引言 单点登录可集成所有的应用系统，统一对用户信 息的管理，进行联合的身份认证，使得用户只需要一 个密码且只需要登录一次，就可进入所有所需要的应 4SAML 用系统，大大提高了工作效率和安全性。 Response (含有assertion) 1 SAML技术简述 图1单点登录基本思想 SAML安全标记性语言，是由OASIS安全技术服 2．2改进后的模型 务委员会开发的基于XML的一种描述性语言，用于 网上用户描述和交换安全方面的信息。安全信息用 SAML断言的格式在互相信赖的域之间传递。 2 基于SAML的单点登录系统 采用WebServices做统一的代理服务器的单点 登录模式．SAML1．0作为安全性信息断言语言，考虑 Services的优良性能和对SAML 到WebLogic作为Web 的支持性．这里的Web 8．0。 Services用WebLogic 2．1基本思想 图1是一般单点登录系统的基本思想。该方案采 用一个身份提供者的登录服务器IDP和一个应用服 现 务器SP。用户登录后，访问SP的资源，SP向IDP发出 代 SAML Request，查看用户是否登录，若未登录，则浏览 图2改进后的单点登录模型 计 Re— 器跳转到登录页面，否则返回给SP一个SAML 算 为了进一步提高单点登录的性能，可对以上方案 机 sponse。里厦含有Assertion。包括认证声明等。SP获得 ^ 该用户的断言，允许该用户访问资源。其中IDP和SP 进行改进。首先，考虑到企业应用的多样性，在建立信 总 都是标准的Web应用。 第 二 上 收稿日期：2007—04-02修稿日期：2007—05—20