跨 WebSphere Application Server 安全域的 SAML 断言

核心提示： 使用应用服务器 SAML 令牌断言信任模型构建 SSO 解决方案有许多优点：对于用户来说，优点是他们只需向自己的安全域验证身份，跨 WebSphere Application Server 安全域的 SAML 断言(2)，然后就能够通过信任关系访问业务伙伴的 Web 服务资源，用户不需要管理其他

使用应用服务器 SAML 令牌断言信任模型构建 SSO 解决方案有许多优点：

对于用户来说，优点是他们只需向自己的安全域验证身份，然后就能够通过信任关系访问业务伙伴的 Web 服务资源。用户不需要管理其他安全域的账号和身份验证数据。

对于 IT 管理员来说，明显的优点是通过使用基于标准的 SAML 技术实现广泛的第三方互操作性。

对于 IT 管理员的另一个主要优点是，降低联合业务资源时的身份管理成本。不需要整合公司的用户目录，即使这在业务场景中是可行的，这个任务也很麻烦。

对于 IT 管理员的另一个优点是，保留外部安全域中的用户身份，可以在安全和业务审计记录中包含它们。

除非另外说明，本文中的 WebSphere Application Server 是指应用了 Fix Pack 7 (V7.0.0.7) 或更高版本的 WebSphere Application Server V7.0。

多安全域业务场景

图 1 是一个 Web 服务联合业务场景示例。图中显示三个 WebSphere Application Server 安全域，每个安全域包含自己的用户存储库配置。这些安全域可以代表不同的业务单位或不同的公司。左边两个安全域中的用户发送 Web 服务消息以访问右边安全域的资源。用户在 SAML 令牌中发送他们的身份，向目标安全域指出自己的身份。Web 服务提供者使用 SAML 用户身份创建安全上下文；例如 JAAS 主体。做出资源访问控制决策需要代表客户机的 JAAS 主体。

图 1. 跨 WebSphere Application Server 安全域断言 SAML 令牌

如果这三个安全域共享一个公用用户目录，那么 Web 服务提供者只需把接收的 SAML 令牌的主体身份映射到本地用户目录中的用户条目，就可以创建代表请求者的 JAAS 主体。如果这三个安全域并不共享公用用户目录，Web 服务提供者仍然可以把接收的 SAML 主体身份映射到本地用户目录中的用户条目，但是需要配置本地用户目录。如果安全域代表单独的公司或业务单位，每个安全域很可能有自己的用户目录。对于外部安全域和外部用户目录中的每个用户身份，管理员可以在本地用户目录中创建一个具有相同身份的条目，这基本上是一对一映射配置。管理员也可以把外部安全域中的所有用户身份映射到本地用户目录中的单一用户条目，这是多对一映射。在更一般的情况下，管理员可以设置多对多映射，把外部用户身份和组映射到本地用户目录中的某些用户身份和组。