fo帕M咖and殆蝴哺她∥电脑知识与技术.PDFVIP

ISSN 1009—3044 Computer fo帕M：咖and殆蝴哺她∥电脑知识与技术 Tel：+86·—551·—5690963 V01．6，No．4，February2010，PP．778-780 5690964 SAML在WebSSO中的应用研究 剃嘈 (常州工学院计算机信息工程学院，江苏常州213002) 规范，可以在已建立信任关系的不同服务实体间进行认证、授权等信息的传递。该文主要针对以Identity Web SSo中对SA_ML的应用进行一定的研究。 关键词：SAML：IdentityProvider；SSO 中图分类号：TP311文献标识码：A 文章编号：1009—3044(2010)04-0778-03 Researchofthe ofSMALintheWebSSo Application JIANG Xiao——ying of Instituteof (School ComputerInformationEngineering，ChangzhouTechnology，Changzhou213002，China) Abstract：SAMLisaXML——based OASISfor and user andauthorizationandoth— specificationproposedby describingexchangingidentity er informationinnetwork on theSAML cantransfer andother security applications．Basedspecification，you informationbetweenentitiesbeenestablishedtrust indifferentservices．Thisstudiesthe ofSAMLin I— relationship paper apphcarion using modetorealizeWebSSO． Provider(IdP)hunch dentity Keywords：SAML；idendt￥provider；SSO 单点登录(SingleSignOn)，简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用 户只需要登录一次就可以访问所有相互信任的应用系统。SAML是OASIS制定的一种安全性断言标记语言．它用于在复杂的环境下 层，来达成一种相互理解的协议，在该协议上，产品能够共享各自的用户认证授权信息。SAML诞生之后，就免去了这种烦恼。站点使 用SAML的XML词汇表和请求／应答模式，通过H哪交换身份信息。这种信息共享标准化能帮助Web站点与多个合作伙伴集成。 本文主要对如何应用SAML的IdP发起模式实现WebSSO进行一定探讨。 1IdP发起模式实现Web应用SSo的处理流程解析 求消息(SAML断言)的数据作为请求参数向此应用所在的远程SP实体发 出应用请求，SP实体验证SAML消息有效后响应用户的应用服务请求。 处理流程如图1所示。 图1中www．xyz．corn被配置为提供身份验证服务的IdP实体；www． abe．corn被配置为支持SSO认证的应用服务SP实体。 1)用户需要访问受限服务时，将被提示需要通过www．xyz．corn的身份 验证。 2)用户提供有效的的身份凭证，通过www．xyz．corn验证后。将获得一 个身份凭据。 3)列出用户可访问的服务，用户访问配置在www．xyz．corn采用SSO认 证的某个远程应用服务(此服务实际部署在某个远程SP实体上．如www． abc．com)。 图1 IdP