跨 WebSphere Application Server 安全域的 SAML 断言

核心提示： 设置用于身份映射的身份和组很繁琐，还会产生一种有意思的副作用，跨 WebSphere Application Server 安全域的 SAML 断言(3)，如果某人使用原本只用于身份映射的用户 ID 向本地安全域验证身份，那么会发生什么呢？另外，这种机制不涉及配置本地用户目录，因此显著简化了访问

设置用于身份映射的身份和组很繁琐，还会产生一种有意思的副作用。如果某人使用原本只用于身份映射的用户 ID 向本地安全域验证身份，那么会发生什么呢？另外，随着安全域数量增加，映射配置很可能会变得更复杂。对于业务审计来说，也希望知道访问资源的原用户。稍后介绍的一种方法可以完全避免身份映射，可以自然地保留原来的用户身份。

本文利用 WebSphere Application Server 的 多安全域 特性。一个安全域包含一套单独的安全策略和配置数据，其中包括用户存储库配置。WebSphere Application Server 允许在一个计算单元中配置多个安全域。如果启用全局安全性，可以配置至少一个安全域作为管理安全域，再在同一计算单元中配置零个或多个应用安全域。管理安全域由管理子系统使用，包括部署管理器、节点代理和管理控制台应用程序。如果没有定义应用安全域，管理安全域还作为应用服务器的默认安全域。应用服务器可以连接应用安全域，服务器上部署的所有应用程序都使用这个安全域。

多个安全域提供更好的应用程序和用户隔离。可信身份验证领域 (TAR) 机制提供一种安全、简便的方法，可以管理来自外部安全域的用户和应用程序以及对本地安全域中资源的访问，其前提条件是外部安全域是本地安全域所信任的。外部安全域用户会保留其身份，不需要针对本地用户目录检验他们。WebSphere Application Server V7.0 实现通过 RMI/IIOP CSIv2 协议支持 LTPA 安全令牌和 EJB 资源访问。WebSphere Application Server SAML 特性扩展了 TAR 机制，支持通过 Web 服务安全协议和 SAML 安全令牌访问资源。

实际上，只要 SAML 令牌是由 Web 服务提供者所信任的令牌颁发者颁发的，Web 服务提供者就可以接受来自外部安全域的 Web 服务请求。使用 SAML 令牌中的身份和组属性来创建 JAAS 主体。不需要通过访问本地目录查找任何本地用户身份和属性。可以把可信外部安全域用户身份和组直接分配给本地安全角色。这种机制不涉及配置本地用户目录，因此显著简化了访问控制配置。但是，Web 服务提供者如何检查信任关系呢？