跨 WebSphere Application Server 安全域的 SAML 断言

核心提示： 可以通过配置 WebSphere Application Server 中的 SAML 特性在三个点上执行信任关系检查，应用服务器可以检查：SAML 令牌颁发者的数字签名是否有效，跨 WebSphere Application Server 安全域的 SAML 断言(4)，从而检查令牌的真实性，

可以通过配置 WebSphere Application Server 中的 SAML 特性在三个点上执行信任关系检查。应用服务器可以检查：

SAML 令牌颁发者的数字签名是否有效，从而检查令牌的真实性。

特定的颁发者是否确实可信，从而对用户身份进行 SAML 断言。

特定的颁发者是否代表可信的安全域，即是否允许这个安全域中的用户进入目标安全域。

检查信任关系之后，Web 服务提供者可以对接收的 SAML 令牌执行断言，从而使用 SAML 令牌颁发者名称、用户身份和可选的组成员关系属性在安全上下文中创建客户机调用者主体。安全上下文的创建基于信任关系，所以应用服务器不需要针对本地安全域的用户存储库检查 SAML 用户身份。这种基于信任关系的方法不需要在本地用户存储库中定义或映射外部安全域的用户。

如果涉及的所有安全域都是 WebSphere Application Server，那么可以完整地使用策略配置来设置跨安全域的 SAML 断言和访问控制，不需要其他代码。但是，WebSphere Application Server 也支持发起请求的安全域或 SAML 令牌颁发者不是 WebSphere Application Server（或任何 IBM 产品）的场景。SAML 规范没有指定组属性名，所以 WebSphere Application Server 可以配置为使用任何 SAML 属性代表用户身份和组。如果目标安全域不是 WebSphere Application Server，根据具体产品不同，可能可以通过配置或定制代码设置三个信任关系检查，但是这种配置超出了本文的范围。

可以按两种方法之一使用策略集和绑定配置把包含外部安全域身份和组的客户机调用者主体传播给下游的 Web 服务：

可以把 Web 服务请求中 原来的 SAML 令牌传播 到 WebSphere Application Server，在这种情况下将应用相同的信任关系检查。