跨 WebSphere Application Server 安全域的 SAML 断言

核心提示： 也可以在 Web 服务消息 中传播整个客户机 RunAs 主体，RunAs 主体中已经包含接收到的 SAML 令牌，跨 WebSphere Application Server 安全域的 SAML 断言(5)， 作为最佳实践，对于 Web 服务客户机和 Web 服务提供者之间的消息交换应该采用传

也可以在 Web 服务消息 中传播整个客户机 RunAs 主体，RunAs 主体中已经包含接收到的 SAML 令牌。

作为最佳实践，对于 Web 服务客户机和 Web 服务提供者之间的消息交换应该采用传输级保护（例如 SSL），或者采用消息级加密和签名，或者同时采取这两种保护机制。图 1 中使用蓝色的锁图标表示消息保护。SAML 令牌中的所有信息（包括用户身份和属性）必须由 SAML 令牌颁发者执行数字签名。图 1 中使用红色的锁图标表示 SAML 令牌由颁发者签名。尽管本文假设所有安全域都由基于 WebSphere Application Server 的系统组成，但是也可以对其他应用服务器应用这种技术。下一节介绍 WebSphere Application Server SAML 断言信任模型。强烈建议配置其他厂商的应用服务器或编写代码，从而相应地实施信任关系检查。

信任模型

WebSphere Application Server 可以配置为根据与 SAML 令牌颁发者的信任关系断言 SAML 令牌。在创建安全上下文以断言 SAML 令牌时，应用服务器不需要针对本地用户存储库检验 SAML 身份。WebSphere Application Server 信任模型在前面提到的三个信任关系检查点上执行信任关系检查。信任关系检查的基础是 SAML 令牌由颁发者执行数字签名。

图 2 所示的示例 SAML 2.0 发送者令牌包含整个 SAML 令牌的数字签名。在对 SAML 令牌执行签名时，必须使用封装的签名，这意味着嵌入的签名覆盖整个 SAML 令牌。数字签名 ds:Reference URI 属性引用 SAML 令牌 ID _93B335BAA1D8B8811A1257438450816。SAML 令牌的颁发者使用自己的私钥签名 SAML 令牌，在令牌中包含相应的 X.509 证书。图中的 SAML 令牌图标包含一个证书图标，这表示 SAML 令牌中嵌入的颁发者证书。Web 服务提供者可以使用嵌入的证书中的公钥检查颁发者数字签名的完整性，使用嵌入的证书检查颁发者是否值得信任。