跨 WebSphere Application Server 安全域的 SAML 断言

核心提示： 图 9. 示例应用程序使用自颁发的 SAML 令牌演示跨安全域 SAML 断言查看原图（大图）除了编写定制的代码之外，另一种方法是通过配置策略集绑定从安全上下文中的 RunAs 主体生成 SAML 令牌，跨 WebSphere Application Server 安全域的 SAML 断言(10

图 9. 示例应用程序使用自颁发的 SAML 令牌演示跨安全域 SAML 断言

　　查看原图（大图）

除了编写定制的代码之外，另一种方法是通过配置策略集绑定从安全上下文中的 RunAs 主体生成 SAML 令牌。当从 RunAs 主体创建自颁发的 SAML 令牌时（而且 RunAs 主体尚未包含 SAML 令牌），WebSphere Application Server V7 Fix Pack 7 实现从 RunAs 主体中的 WSCredential 对象中提取出用户身份，但是并不在 SAML 令牌中插入组成员关系信息。因此，本文采用定制代码方式，通过程序从 WSCredential 对象中提取出组信息并插入 SAML 令牌。

如图 9 所示，浏览器用户使用基于表单的登录向示例应用程序验证身份。Web 浏览器用户需要输入用户名和密码，向本地用户存储库验证身份。Web 服务客户机应用程序使用用户身份生成自颁发的 SAML 令牌，但是使用一个预先配置的安全域领域名作为令牌颁发者和组成员关系数据。Web 服务客户机通过发送包含自颁发 SAML 令牌的 SOAP 消息来调用 EJBWSProviderApp Web 服务。用一个密钥对 SAML 令牌执行签名，这个密钥是 EJBWSProviderApp Web 服务提供者所信任的。EJBWSProviderApp Web 服务提供者在三个信任关系检查点上检查信任关系。EJBWSProviderApp 是一个 EJB 3.0 bean，使用 JAX-WS 编程模型把它公开为 Web 服务。选用 EJB Web 服务实现是为了演示如何设置授权策略，以及如何检查访问控制决策中使用的 SAML 断言。