跨 WebSphere Application Server 安全域的 SAML 断言

核心提示： SAML 1.1 示例在 AttributeAssertion 元素中包含一个 Subject 断言，只有 SAML 1.1 规范要求这么做，跨 WebSphere Application Server 安全域的 SAML 断言(9)，对于前面的示例，安全上下文中的客户机调用者主体包含以下用户信

SAML 1.1 示例在 AttributeAssertion 元素中包含一个 Subject 断言。只有 SAML 1.1 规范要求这么做。

对于前面的示例，安全上下文中的客户机调用者主体包含以下用户信息：

Realm name: acme.com

Security name: Alice

Unique ID: acme.com/Alice

Unique group ID 1: acme.com/Acme employee

Unique group ID 2: acme.com/Gold membership

跨 WebSphere Application Server 安全域断言

下载 部分包含一个示例 Web 服务客户机应用程序和 Web 服务提供者应用程序，它们演示如何设置策略集、绑定和可信身份验证领域配置以实现跨安全域 SAML 令牌断言。图 8 显示示例应用程序涉及的解决方案部分（蓝色圈中的部分）。

图 8. 跨安全域 SAML 令牌断言

示例应用程序是自包含的，可以很简便地运行它。通常，在联合 Web 服务资源（后面讨论）时，使用 Security Token Service (STS) 验证用户的身份并把 SAML 令牌颁发给经过授权的用户。示例应用程序并不依赖于外部 STS，而是利用 WebSphere Application Server SAML Token Factory API 创建 SAML 令牌（在本文中称为自颁发的 SAML 令牌）。为了演示跨安全域 SAML 令牌断言，示例应用程序需要区分至少两个安全域。为了演示跨安全域断言，常常必须配置两个应用服务器，每个服务器在一个单独的安全域中。为了简化这个示例的配置，示例应用程序在单一应用服务器上演示跨安全域行为。在创建自颁发的 SAML 令牌时，示例应用程序通过设置 SAML 令牌颁发者属性表示外部安全域。因此，SAML 令牌中的用户和组信息代表外部安全域中的用户，而不是本地用户存储库中定义的用户。图 9 说明示例应用程序的元素。