跨 WebSphere Application Server 安全域的 SAML 断言

核心提示：简介Security Assertion Markup Language (SAML) 是用于表示和交换用户身份、身份验证和属性信息的 OASIS 开放标准，SAML 正在成为创建单点登录 (SSO) 解决方案的常用技术，跨 WebSphere Application Server 安全域的 SAML 断言，对于希望向

简介

Security Assertion Markup Language (SAML) 是用于表示和交换用户身份、身份验证和属性信息的 OASIS 开放标准。SAML 正在成为创建单点登录 (SSO) 解决方案的常用技术。对于希望向其业务伙伴的已授权用户提供业务服务的公司，可以应用这种技术创建 SSO 解决方案，从而跨企业联合 Web 服务资源。

请考虑一个业务场景：您希望自己的用户能够访问伙伴公司的业务服务。最好的 SSO 效果是，用户只需向您的企业验证身份，而不需要向其他公司验证身份。当用户访问 Web 服务资源时，可以使用 SAML 令牌传递用户身份和属性数据。由于业务和私密性问题，这些公司很可能不会把它们的多个用户目录整合为单一公用用户目录。这意味着 SAML 令牌将包含来自外部安全域的用户身份，它们不是在业务服务提供者的用户目录中定义的。本文讨论如何使用 IBM® WebSphere® Application Server V7.0 Fix Pack 7 中的 SAML 支持跨多个安全域边界断言 SAML 令牌，以及使用外部安全域用户身份和定制的 SAML 组属性直接做出访问控制决策。您会看到，与身份和组映射技术相比，根据信任关系断言外部身份和定制的组属性更容易管理。

SAML 令牌

SAML 令牌由令牌颁发者进行数字签名以确保令牌的完整性。业务服务提供者可以检验令牌颁发者的数字签名，从而确认 SAML 令牌中用户身份的真实性。检验令牌颁发者的数字签名是检验业务伙伴之间的信任关系的基础。本文描述用于断言 SAML 令牌以在应用服务器运行时环境中创建用户安全上下文的信任模型。本文还包含一个 EJB™ 3.0 Java™ API for XML Web Services (JAX-WS) 示例应用程序，通过它说明如何根据 SAML 令牌颁发者和 Web 服务提供者之间的信任关系配置跨安全域 SAML 断言。您将通过这个应用程序学习如何配置业务服务，从而使用 SAML 令牌做出资源访问控制决策。