Shibboleth:用户认证的通道

安全 数据安全
Shibboleth涉及4个方面的内容:用户认证机制;用户资料的传递机制;用户真实性的鉴别;用户认证和授权信息的保密机制。这些,都属于信息安全领域的研究范畴。

Shibboleth的目的是对用户进行统一的认证。通过用户所属的源站点对用户进行认证和授权,从而使得联盟中各个站点能够对用户进行认证和授权。 

Shibboleth组件与协议

Shibboleth中包含7个部分组件,其中5个为Shibboleth实现,2个需要用户实现。

SP端(target)

SP(Service provider)端是资源/服务提供端,主要作用是过滤用户的资源请求,并向该用户所在的IdP查询用户的属性,然后根据属性作出允许或拒绝访问资源的决策。

SHIRE

资源的保护者。过滤HTTP请求,当遇到指定的HTTP请求时,向SHAR发送用户属性查询句柄(AQH)。经过一些列处理后SHAR会返回用户属性。通过用户属性中规定的用户权限,决定用户对资源的权限。同时,SHIRE还要完成对用户属性句柄的请求操作。

SHAR

用户属性的缓存。通过发送AQM与IdP中的AA联系,取得用户属性,然后通过cookie形式缓存下来,当SHIRE查询用户属性时,通过检查cookie以及与AA联系等操作,返回用户属性。因此,何时向AA发送AQM,当AA返回ARM时SHAR该如何处理,何时向SHIRE报告用户属性,这需要一套机制,也是APP(attribute acceptance policy)存在的原因。

WAYF

WAYF是系统中的一个组件,用以完成IdP站点名与HS之间的映射。同时,WAYF会向HS发送“浏览器发送配置文件”,从而引发HS一系列的反应,最后使得HS向SHIRE的某个特定的URL返回“浏览器辅助诊断文件”。

IdP端(origin)

IdP是身份提供端,主要作用是向SP提供用户属性,以便使SP根据用户属性对用户操作授权。

HS

用户身份的鉴别机构。HS的主要作用是等待SHIRE发送的“浏览器发送配置文件”,当接受到该文件时,通知AA与CA进行相应的处理,然后返回“浏览器辅助配置文件”给SHIRE。

AA

用户属性的生成机构,决定是否生成用户属性。通过判断用户的session,来判断使用已经存在的用户属性,还是生成新的用户属性,同时保持用户的session。因此,AA中定义了ARP(用户属性颁布策略),用以决定是否生成用户属性,何时发送用户属性。同时AA要完成与SHAR的通信,通过AQM与ARM完成AA发布用户属性的操作。

CA

认证中心。主要作用是完成对用户的认证,存储用户的权限,当需要对用户进行认证与权限请求时,验证用户的USER/PASS或者验证用户的证书,完成对用户的鉴别。

用于通信的消息

Shibboleth作为SAML的一种实现,需要完成用户/浏览器、源端和目的端之间的通信。SAML中规定的配置文件和查询/响应协议,Shibboleth都进行了完整的实现。查询/响应协议规定了AA与SHAR之间的协作和通信;配置文件规定了SHIRE、WAYF和HS之间的协作与通信。

浏览器发送配置文件

Shibboleth中包含了两种浏览器发送配置文件:SHIRE发送给WAYF的和WAYF发送给HS的。

1. 用户发往WAYF的浏览器发送配置文件:当SHIRE遇到不能识别的用户时,它将用户重定向到WAYF服务器,同时发出用户句柄请求。此时,用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过WAYF服务器中的认证表单,选定所属的IDP,并将该表单提交给WAYF。

2. WAYF发给HS的浏览器发送配置文件:当WAYF将用户所属IDP与该IDP的HS服务器映射后,将用户浏览器重定向到该HS服务器。此时,用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过填写所属IDP的认证中心提供的表单,提交用户名/密码等相关信息完成认证。

浏览器辅助配置文件

当用户通过HS完成所属站点的身份认证后,该HS将用户浏览器重定向到远程SP中用户句柄接收地址,同时附上表单,表单中填写用户句柄和其他相关信息(包括存储用户信息的AA所在位置、用户请求资源连接等)。因为这些信息均以表单形式提供,但均不是浏览器提交,而是HS提供的,在该过程中浏览器仅仅是提供传输表单等信息的功能,因此该配置文件称为浏览器辅助配置文件。

AQM(属性查询消息)

AQM是从SHAR发往AA的消息,通过XML实现。

ARM(属性应答消息)

ARM是从AA发往SHAR的消息,通过XML实现,包含如下几个部分。

1.该消息所属协议版本号、对应于请求消息的标识和该应答消息的唯一标识。

2.用户属性查询句柄(AQH)或用户的证书。

3.该用户属性的合法性约束(比如过期时间)。

4.0个或多个用户属性。

协议绑定

SAML 指出,通信的消息可以与多种通信协议绑定。Shibboleth中实现了SOAP的绑定,AQM和ARM均使用SOAP负载。

Shibboleth的更多分析内容请看:Shibboleth:应用场景

 【编辑推荐】

  1. 简化VPN身份认证
  2. 简介SMTPi的身份认证技术
  3. 中国用户对强身份认证最积极
  4. 2009数据中心变化之IT身份认证
  5. 分布式用户认证为单点登录护航 上篇
  6. 确保网上银行安全的多重身份认证方案
  7. 网络购物安全需警惕 身份认证谁说了算
责任编辑:佚名 来源: 中国教育和科研计算机网
相关推荐

2011-05-17 15:24:18

Shibboleth认证

2021-04-06 09:15:54

5G5G网络5G终端

2009-12-07 16:23:57

Windows 7权限设置

2013-11-01 09:15:21

2024-07-31 09:09:20

2023-03-01 08:57:32

2020-08-02 23:48:57

JavaScript用户认证库开发

2013-08-15 13:41:53

Nginx用户认证

2020-08-12 08:31:57

JavaScript

2021-08-25 22:40:09

数据中心IT通道

2012-08-27 13:27:51

Wi-FiTDLS

2023-11-23 10:19:08

2023-08-02 06:53:01

iOS苹果

2012-09-03 14:21:07

2012-11-02 09:28:57

Windows Ser

2022-03-22 08:03:22

Spring动态认证数据库

2023-04-10 08:11:27

Jenkins数据库

2010-08-04 09:48:35

2021-12-02 22:47:37

iOS苹果系统

2023-05-12 07:12:20

点赞
收藏

51CTO技术栈公众号