strong>Shibboleth是Internet2/MACE项目中其中的一个,得到了IBM的技术和资金支持,是一个使用标准语言描述的体系结构和策略框架,支持安全Web资源和服务的共享,是安全断言标记语言(Security Assertion Markup Language)的一种实现。
根据SAML V1.1技术架构文档中描述的三个用例,Shibboleth综合这些场景,实现了一个综合的用例,其他应用均可以看作这个用例的子集。
Shibboleth完整工作流
Shibboleth的综合用例,指的是用户未通过认证,直接访问远程站点(不同校区的站点)。其处理过程如下:
1. 用户未在所属IdP认证,直接登陆远程站点。
2. SHIRE通过地址过滤,发现用户访问Shibboleth保护的资源。SHIRE通过询问SHAR,发现用户属性没有被缓存,则需要对用户进行认证/授权。SHIRE产生“浏览器发送配置文件”,通过与浏览器交互,以HTML表单的形式递交给WAYF。
3. WAYF收到SHIRE发送的表单,通过分辨用户所属IdP的站点名,取得用户所属HS的地址。同时,生成“浏览器发送配置文件”并将它发送给HS。
4. 当HS收到WAYF发送的“浏览器发送配置文件”时,发现用户未通过验证,则进行以下操作。
a) 通过CA,对用户进行认证。
b) 通知AA生成用户属性。
5. CA对用户进行认证,并产生Session,以保证用户的唯一性。
6. HS产生“浏览器辅助配置文件”,通过浏览器使用HTML表单的形式递交给SHIRE,以供判断用户的实时性。
7. SHIRE询问SHAR关于该用户的用户属性。SHAR向IdP的AA发送AQM消息查询用户属性。
8. AA回复ARM,SHAR取得用户权限,传递给SHIRE。
9. 取得用户权限后,则可对用户进行进行授权:可访问/禁止访问。到此,完成了一次完整的用户认证和授权。
Shibboleth的更多分析内容请看:Shibboleth:用户认证的通道
【编辑推荐】
- 简化VPN身份认证
- 简介SMTPi的身份认证技术
- 中国用户对强身份认证最积极
- 2009数据中心变化之IT身份认证
- 分布式用户认证为单点登录护航 上篇
- 确保网上银行安全的多重身份认证方案
- 网络购物安全需警惕 身份认证谁说了算