跨 WebSphere Application Server 安全域的 SAML 断言
2010-07-27 00:00:00 来源:WEB开发网核心提示: 在这个检查点上,应用服务器确保只对可信外部安全域中的用户允许 SAML 令牌断言,跨 WebSphere Application Server 安全域的 SAML 断言(7),主体确认方法考虑因素WebSphere Application Server 支持 OASIS Web Services
在这个检查点上,应用服务器确保只对可信外部安全域中的用户允许 SAML 令牌断言。
主体确认方法考虑因素
WebSphere Application Server 支持 OASIS Web Services Security SAML Token Profile 1.1 Specification,支持发送者主体确认方法和密钥持有者主体确认方法:
密钥持有者主体确认方法要求整个 SAML 令牌由颁发者执行数字签名,还有其他安全需求。
发送者主体确认方法不要求应用服务器执行 SAML 令牌数字签名。
在默认情况下,应用服务器检查 SAML 令牌是否按照两种确认方法的要求签名。检查 SAML 令牌数字签名和签名证书是 SAML 令牌断言信任模型的基础,信任模型应用于发送者 SAML 令牌和密钥持有者 SAML 令牌。对于密钥持有者主体确认,SAML 令牌在密码学意义上与包含它的 SOAP 消息相关联。因此,Web 服务客户机使用 SAML 令牌中定义的密钥对 SOAP 请求消息执行数字签名。因此,Web 服务接收者可以检查 Web 服务客户机是否确实知道密钥,以此确认它拥有 SAML 令牌。使用密钥持有者 SAML 令牌可以提高消息和 SAML 令牌保护的强度,但是并不影响 SAML 令牌断言信任模型。
断言 SAML 令牌
当通过 SAML 令牌断言创建安全上下文时,应用服务器运行时代码需要 SAML 令牌中的外部安全域名、用户身份和(可选的)用户组成员关系数据。
应用服务器运行时从经过检验的 SAML 令牌中提取出 SAML 令牌颁发者名称,使用它作为外部安全域身份验证领域名(图 3)。
图 3. SAML 2.0 颁发者断言示例
查看原图(大图)
Tags:WebSphere Application Server
编辑录入:爽爽 [复制链接] [打 印]- ››WebSphere Application Server 7.0 XML Feature P...
- ››WebSphere 反向投资者: 解决 WebSphere Applicati...
- ››WebSphere sMash 的创新应用,第 2 部分: 借助包装...
- ››Websphere MQ v6集群的负载均衡新功能
- ››WebSphere Process Server V6.0.2 集群,第 2 部分...
- ››WebSphere Process Server V6.0.2 集群,第 1 部分...
- ››WebSphere MQ性能调优浅谈
- ››WebSphere配置资源库管理
- ››WebSphere中的SSL/TLS:用法、配置和性能
- ››websphere ejb远程/本地调用总结
- ››WebSphere Application Server对SIP的支持
- ››WebSphere Process Server V6 体系结构概述
更多精彩
赞助商链接