基于SAMLSharePoint第三方身份认证系统接入设计.docVIP

基于SAMLSharePoint第三方身份认证系统接入设计 　　摘 要 Microsoft SharePoint Server 2010拥有独立的认证、授权管理模块，并严格遵循了SAML、WS-Trust、WS-Federation等相关的工业标准。而通过Windows Identity Foundation可以将 WS-Trust、WS-Federation等协议抽象化，向开发人员呈现用于构建安全令牌服务和声明感知应用程序的API，以SAML形式使得非工业标准的认证系统为Microsoft SharePoint Server 2010提供身份认证服务成为了可能。本文设计过程中基于SAML，讨论了非工业标准化的第三方身份认证系统接入Microsoft SharePoint Server 2010实现原理、构建和关键的方法。 　　关键词 Windows Identity Foundation Microsoft SharePoint Server 2010 SAML 安全令牌服务 　　中图分类号：TP319 文献标识码：A 　　1 概述 　　作为一个成熟的企业级业务解决方案，Microsoft SharePoint Server 2010以灵活的部署选项和丰富的管理工具，使得用户无需编写代码就可以快速、便捷地设计任务表单和业务流程，帮助企业用户拓展在内容管理、内外部协同和企业业务流程管理能力，并将SharePoint平台和企业其他业务系统集成，使得端到端的合作更为容易，实现了个人、团队的信息整合、组织和搜索功能。其提供直观的审批流程定义和强大的流程逻辑定义功能，结合企业组织结构信息，定义复杂的审批、审阅流程。利用Sharepoint可以将企业的日常业务流程如人事入职、出差申请、休假申请、加班申请、费用报销、项目立项、固定资产采购、公章使用等集中到SharePoint平台统一部署和管理。而在实际应用环境下，企业中存在大量的业务系统集，并使用统一身份认证系统作为单点登录的支持，Microsoft SharePoint Server 2010虽然也提供了身份认证功能，但本身是遵循SAML、WS-Trust等相关工业标准的，而企业自身的认证系统并不一定是符合行业标准，这样导致企业自身的身份认证系统信息不能被SharePoint所识别，使得不同系统间身份信息转换变得异常复杂，这样就存在如何将现有的认证系统与SharePoint Server 2010进行整合以实现真正意义上的单点登录的问题。 　　2 SharePoint的身份验证机制剖析 　　2.1 身份验证步骤 　　在SharePoint Server 2010系统的身份验证过程中，是按照图1标示的步骤进行的： 　　（1）??户端请求SharePoint Server 2010系统相关页面资源； 　　（2）SharePoint检查客户端请求的身份认证信息，若请求未通过身份验证，则身份验证组件将根据该区域的身份验证设置传送请求； 　　（3）验证请求交由身份验证组件处理。如果为给定区域配置了多个身份验证方法，则用户可通过身份验证选择页选择身份验证方法。如果仅指定了一种身份验证方法，将直接通过指定的身份验证方法处理请求； 　　（4）通过身份提供程序对用户进行身份验证； 　　（5）如果身份验证成功，SharePoint 安全令牌服务（STS）将使用身份提供程序提供的信息为用户生成基于声明的令牌。如果配置了其他声明提供程序，则STS会使用声明提供程序提供的声明来扩充用户令牌； 　　（6）将基于声明的用户令牌发送回身份验证组件； 　　（7）身份验证组件使用基于声明的用户令牌将请求重定向资源地址； 　　（8）执行请求管道的其余部分并将响应发送回请求的客户端，至此登录与授权完成。 　　2.2 身份验证模式 　　在SharePoint Server 2010系统中，提供了两种身份验证模式：Classic Mode Authentication和Claims Based Authentication。 　　（1）Classic Mode Authentication：经典模式身份验证。即用户认证和用户身份都使用标准的Windows身份认证机制，并且SharePoint会将用户账户视为Active Directory域服务（AD DS）账户。在登录过程中通过协商（NTLM/Kerberos）使用集成Windows身份验证质询执行登录过程。由于在此模式下并不进行声明扩充，因此用户登录后，SharePoint中的一些功能（如：对服务应用程序和自定义声明提供程序的多用户支持）将不起作用。 　　（2）Claims Based Authentication：基于声明的身份验证