WEB开发网
开发学院软件开发Java 跨 WebSphere Application Server 安全域的 SAML ... 阅读

跨 WebSphere Application Server 安全域的 SAML 断言

 2010-07-27 00:00:00 来源:WEB开发网   
核心提示: 在这个检查点上,应用服务器确保只对可信外部安全域中的用户允许 SAML 令牌断言,跨 WebSphere Application Server 安全域的 SAML 断言(7),主体确认方法考虑因素WebSphere Application Server 支持 OASIS Web Services

在这个检查点上,应用服务器确保只对可信外部安全域中的用户允许 SAML 令牌断言。

主体确认方法考虑因素

WebSphere Application Server 支持 OASIS Web Services Security SAML Token Profile 1.1 Specification,支持发送者主体确认方法和密钥持有者主体确认方法:

密钥持有者主体确认方法要求整个 SAML 令牌由颁发者执行数字签名,还有其他安全需求。

发送者主体确认方法不要求应用服务器执行 SAML 令牌数字签名。

在默认情况下,应用服务器检查 SAML 令牌是否按照两种确认方法的要求签名。检查 SAML 令牌数字签名和签名证书是 SAML 令牌断言信任模型的基础,信任模型应用于发送者 SAML 令牌和密钥持有者 SAML 令牌。对于密钥持有者主体确认,SAML 令牌在密码学意义上与包含它的 SOAP 消息相关联。因此,Web 服务客户机使用 SAML 令牌中定义的密钥对 SOAP 请求消息执行数字签名。因此,Web 服务接收者可以检查 Web 服务客户机是否确实知道密钥,以此确认它拥有 SAML 令牌。使用密钥持有者 SAML 令牌可以提高消息和 SAML 令牌保护的强度,但是并不影响 SAML 令牌断言信任模型。

断言 SAML 令牌

当通过 SAML 令牌断言创建安全上下文时,应用服务器运行时代码需要 SAML 令牌中的外部安全域名、用户身份和(可选的)用户组成员关系数据。

应用服务器运行时从经过检验的 SAML 令牌中提取出 SAML 令牌颁发者名称,使用它作为外部安全域身份验证领域名(图 3)。

图 3. SAML 2.0 颁发者断言示例

  查看原图(大图)

上一页  2 3 4 5 6 7 8 9 10  下一页

Tags:WebSphere Application Server

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接