跨 WebSphere Application Server 安全域的 SAML 断言

核心提示： 图 2. 由颁发者执行数字签名的示例 SAML 2.0 发送者令牌查看原图（大图）第一个信任关系检查点 第一个检查点检查颁发者签名证书是否确实是应用服务器所信任的 SAML 令牌颁发者，应用服务器根据配置的信任存储中的证书检查接收到的证书，跨 WebSphere Application Serv

图 2. 由颁发者执行数字签名的示例 SAML 2.0 发送者令牌

　　查看原图（大图）

第一个信任关系检查点

第一个检查点检查颁发者签名证书是否确实是应用服务器所信任的 SAML 令牌颁发者。应用服务器根据配置的信任存储中的证书检查接收到的证书。然后，应用服务器使用检查过的颁发者签名证书中的公钥检查 SAML 令牌数字签名，从而检查接收到的令牌的完整性。数字签名检查确认接收到的 SAML 令牌中的信息没有被篡改过。

在这个检查点上，应用服务器确保它只接受来自可信颁发者的 SAML 令牌。

第二个信任关系检查点

可以把应用服务器配置为针对策略集绑定配置检查 SAML 令牌颁发者名称属性和包含的签名证书。为了实现最优结果，应该在策略集绑定配置中指定证书所有者名称和 SAML 令牌颁发者名称，让应用服务器可以在签名证书和颁发者名称之间建立联系。这样，应用服务器可以检查由某个令牌颁发者（由指定的签名证书表示）签名的 SAML 令牌的颁发者名称是否与策略集绑定配置中定义的颁发者名称一致。在默认情况下，应用服务器使用 SAML 令牌颁发者名称代表外部安全域。具体地说，应用服务器检查颁发者是否确实可信，从而只接受来自特定安全域的用户。

这个检查点对于维护应用服务器运行时完整性很重要；当某个 SAML 令牌颁发者被破解时，它确保损害只限于来自这个安全域的用户，不会扩散到属于其他安全域的用户。

第三个信任关系检查点

应用服务器检查外部安全域是否可信。具体地说，SAML 令牌颁发者名称确实在入站可信身份验证领域列表中定义了。应用服务器有一个信任任何外部安全域的配置选项。为了实现最优结果，应该在可信身份验证领域列表中显式地指定可信外部安全域。