日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Shibboleth:用戶認(rèn)證的通道

Shibboleth的目的是對用戶進(jìn)行統(tǒng)一的認(rèn)證。通過用戶所屬的源站點(diǎn)對用戶進(jìn)行認(rèn)證和授權(quán),從而使得聯(lián)盟中各個站點(diǎn)能夠?qū)τ脩暨M(jìn)行認(rèn)證和授權(quán)。 

創(chuàng)新互聯(lián)公司于2013年創(chuàng)立,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元揭東做網(wǎng)站,已為上家服務(wù),為揭東各地企業(yè)和個人服務(wù),聯(lián)系電話:028-86922220

Shibboleth組件與協(xié)議

Shibboleth中包含7個部分組件,其中5個為Shibboleth實(shí)現(xiàn),2個需要用戶實(shí)現(xiàn)。

SP端(target)

SP(Service provider)端是資源/服務(wù)提供端,主要作用是過濾用戶的資源請求,并向該用戶所在的IdP查詢用戶的屬性,然后根據(jù)屬性作出允許或拒絕訪問資源的決策。

SHIRE

資源的保護(hù)者。過濾HTTP請求,當(dāng)遇到指定的HTTP請求時(shí),向SHAR發(fā)送用戶屬性查詢句柄(AQH)。經(jīng)過一些列處理后SHAR會返回用戶屬性。通過用戶屬性中規(guī)定的用戶權(quán)限,決定用戶對資源的權(quán)限。同時(shí),SHIRE還要完成對用戶屬性句柄的請求操作。

SHAR

用戶屬性的緩存。通過發(fā)送AQM與IdP中的AA聯(lián)系,取得用戶屬性,然后通過cookie形式緩存下來,當(dāng)SHIRE查詢用戶屬性時(shí),通過檢查cookie以及與AA聯(lián)系等操作,返回用戶屬性。因此,何時(shí)向AA發(fā)送AQM,當(dāng)AA返回ARM時(shí)SHAR該如何處理,何時(shí)向SHIRE報(bào)告用戶屬性,這需要一套機(jī)制,也是APP(attribute acceptance policy)存在的原因。

WAYF

WAYF是系統(tǒng)中的一個組件,用以完成IdP站點(diǎn)名與HS之間的映射。同時(shí),WAYF會向HS發(fā)送“瀏覽器發(fā)送配置文件”,從而引發(fā)HS一系列的反應(yīng),最后使得HS向SHIRE的某個特定的URL返回“瀏覽器輔助診斷文件”。

IdP端(origin)

IdP是身份提供端,主要作用是向SP提供用戶屬性,以便使SP根據(jù)用戶屬性對用戶操作授權(quán)。

HS

用戶身份的鑒別機(jī)構(gòu)。HS的主要作用是等待SHIRE發(fā)送的“瀏覽器發(fā)送配置文件”,當(dāng)接受到該文件時(shí),通知AA與CA進(jìn)行相應(yīng)的處理,然后返回“瀏覽器輔助配置文件”給SHIRE。

AA

用戶屬性的生成機(jī)構(gòu),決定是否生成用戶屬性。通過判斷用戶的session,來判斷使用已經(jīng)存在的用戶屬性,還是生成新的用戶屬性,同時(shí)保持用戶的session。因此,AA中定義了ARP(用戶屬性頒布策略),用以決定是否生成用戶屬性,何時(shí)發(fā)送用戶屬性。同時(shí)AA要完成與SHAR的通信,通過AQM與ARM完成AA發(fā)布用戶屬性的操作。

CA

認(rèn)證中心。主要作用是完成對用戶的認(rèn)證,存儲用戶的權(quán)限,當(dāng)需要對用戶進(jìn)行認(rèn)證與權(quán)限請求時(shí),驗(yàn)證用戶的USER/PASS或者驗(yàn)證用戶的證書,完成對用戶的鑒別。

用于通信的消息

Shibboleth作為SAML的一種實(shí)現(xiàn),需要完成用戶/瀏覽器、源端和目的端之間的通信。SAML中規(guī)定的配置文件和查詢/響應(yīng)協(xié)議,Shibboleth都進(jìn)行了完整的實(shí)現(xiàn)。查詢/響應(yīng)協(xié)議規(guī)定了AA與SHAR之間的協(xié)作和通信;配置文件規(guī)定了SHIRE、WAYF和HS之間的協(xié)作與通信。

瀏覽器發(fā)送配置文件

Shibboleth中包含了兩種瀏覽器發(fā)送配置文件:SHIRE發(fā)送給WAYF的和WAYF發(fā)送給HS的。

1. 用戶發(fā)往WAYF的瀏覽器發(fā)送配置文件:當(dāng)SHIRE遇到不能識別的用戶時(shí),它將用戶重定向到WAYF服務(wù)器,同時(shí)發(fā)出用戶句柄請求。此時(shí),用戶瀏覽器中能觀察到的鏈接包括WAYF地址、SHIRE中用戶句柄接收地址和用戶請求的資源地址。用戶通過WAYF服務(wù)器中的認(rèn)證表單,選定所屬的IDP,并將該表單提交給WAYF。

2. WAYF發(fā)給HS的瀏覽器發(fā)送配置文件:當(dāng)WAYF將用戶所屬IDP與該IDP的HS服務(wù)器映射后,將用戶瀏覽器重定向到該HS服務(wù)器。此時(shí),用戶瀏覽器中能觀察到的鏈接包括WAYF地址、SHIRE中用戶句柄接收地址和用戶請求的資源地址。用戶通過填寫所屬IDP的認(rèn)證中心提供的表單,提交用戶名/密碼等相關(guān)信息完成認(rèn)證。

瀏覽器輔助配置文件

當(dāng)用戶通過HS完成所屬站點(diǎn)的身份認(rèn)證后,該HS將用戶瀏覽器重定向到遠(yuǎn)程SP中用戶句柄接收地址,同時(shí)附上表單,表單中填寫用戶句柄和其他相關(guān)信息(包括存儲用戶信息的AA所在位置、用戶請求資源連接等)。因?yàn)檫@些信息均以表單形式提供,但均不是瀏覽器提交,而是HS提供的,在該過程中瀏覽器僅僅是提供傳輸表單等信息的功能,因此該配置文件稱為瀏覽器輔助配置文件。

AQM(屬性查詢消息)

AQM是從SHAR發(fā)往AA的消息,通過XML實(shí)現(xiàn)。

ARM(屬性應(yīng)答消息)

ARM是從AA發(fā)往SHAR的消息,通過XML實(shí)現(xiàn),包含如下幾個部分。

1.該消息所屬協(xié)議版本號、對應(yīng)于請求消息的標(biāo)識和該應(yīng)答消息的唯一標(biāo)識。

2.用戶屬性查詢句柄(AQH)或用戶的證書。

3.該用戶屬性的合法性約束(比如過期時(shí)間)。

4.0個或多個用戶屬性。

協(xié)議綁定

SAML 指出,通信的消息可以與多種通信協(xié)議綁定。Shibboleth中實(shí)現(xiàn)了SOAP的綁定,AQM和ARM均使用SOAP負(fù)載。

Shibboleth的更多分析內(nèi)容請看:Shibboleth:應(yīng)用場景

 【編輯推薦】

  1. 簡化VPN身份認(rèn)證
  2. 簡介SMTPi的身份認(rèn)證技術(shù)
  3. 中國用戶對強(qiáng)身份認(rèn)證最積極
  4. 2009數(shù)據(jù)中心變化之IT身份認(rèn)證
  5. 分布式用戶認(rèn)證為單點(diǎn)登錄護(hù)航 上篇
  6. 確保網(wǎng)上銀行安全的多重身份認(rèn)證方案
  7. 網(wǎng)絡(luò)購物安全需警惕 身份認(rèn)證誰說了算

網(wǎng)頁題目:Shibboleth:用戶認(rèn)證的通道
文章分享:http://m.5511xx.com/article/cccojed.html