WebSphere Application Server SAML Trust Association Interceptor简介

简介

IBM WebSphere Application Server(以及在 WebSphere Application Server 平台之上运行的一堆产品)自 V5.1 以来就有一个基于 Trust Association Interceptor (TAI) 接口的可自定义的身份验证框架。该接口有多种产品实现。2012 年,WebSphere Application Server 完整配置文件版本提供了一个新的 SAML(Security Assertion Markup Language,安全断言标记语言)TAI,它可用于 WebSphere Application Server 7.0、8.0 和 8.5 之上。(撰写本文之时,IBM WebSphere Application Server Liberty 配置文件还不支持 SAML。)这个 TAI 是目前最全面的 TAI。本文将介绍:

如何使用 SAML TAI。

何时适合使用 SAML TAI。

各种 SAML TAI 属性如何配合使用。

SAML TAI 穿梭于 WebSphere Application Server 授权流程中时使用的错综复杂的路径。

本文假设您已牢牢掌握 WebSphere Application Server 身份验证流程(如文章 WebSphere Application Server 中的高级身份验证 中所述),而且了解:

数字签名

加密

身份断言

TAI 的大体知识。

基础:Web 单点登录用例

SAML TAI 引入了对新的 Web 单点登录 (SSO) 形式的支持。正如我们在 WebSphere Application Server 安全类中所说的,术语 “SSO” 在行业中被严重过度使用,所以我们的 SSO 用例将非常严格。

SAML 多年来已发生演变。SAML 2.0 规范定义了一些配置文件和绑定:

SAML 配置文件描述了 SSO 交互中的各个参与方之间的不同消息交换序列。

SAML 绑定描述了如何将一条特定的消息绑定到某个协议。在配置文件的消息交换序列中的任意步骤中,配置文件都可以引用一个或多个绑定作为转发消息的方式选择。

SAML 配置文件包括:

SSO 配置文件                    

Web Browser SSO Profile

Enhanced Client or Proxy Profile

Identity Provider Discovery Profile

Single Logout Profile

Name Identity Management Profile

Artifact Resolution Profile

Assertion Query/Request Profile

Name Identifier Mapping Profile

SAML Attribute Profiles

SAML 绑定包括:

SAML SOAP Binding

Reverse SOAP Binding

HTTP Redirect Binding

HTTP Post Binding

HTTP Artifact Binding

SAML URI Binding

WebSphere Application Server 从修复包 7.0.0.7 开始支持通过 SAML SOAP Binding 来支持 SOAP。SAML TAI 是在修复包 7.0.0.23、8.0.0.5 和基础产品的 8.5.0.0 版中引入的。SAML TAI 仅支持结合使用 Web Browser SSO Profile 和 HTTP Post Binding。  

可以看到,这只是许多可能的用例中的一种。事实上,确实存在两种变体。在介绍它们之前,我们先介绍一下所涉及的角色:

身份提供程序 (IdP)

服务提供程序 (SP) 有时称为中继方 (Relying Party) 或 RP。

IdP 的工作是验证最终用户(IdP 完成此操作的准确方式无关紧要),并生成一些关于用户的断言或声明。这些断言由 IdP 进行数字签名。SAML 规范定义了这些断言的格式。SP 接收断言,如果它对来自受信任的 IdP 的断言感到满意,则基于断言的某些部分来让用户登录。

我们还将查看一个基于真实用例的示例。Unified Assurance Company (UAC) 有许多企业客户;举例而言,Gamma Business Machine (GBM) 公司、Omicron Lumber Company 和 Purple Maple Syrup Company。我们将这 4 个(虚构的)公司视为位于一个 SSO 连锁中。在此示例中,Unified Assurance Company 了解这 3 个连锁成员的员工(UAC LDAP 中有针对外部连锁成员的员工的用户条目)。但是,UAC LDAP 中没有连锁成员的密码。

在这种情况下,Unified Assurance 希望将一个 IBM WebSphere Portal 系统提供给它的外部和内部用户。来自 GBM 的用户将向 GBM 中的一个系统进行验证,Omicron Lumber 用户向 Omicron Lumber 网络中的一个系统进行验证,而 Purple Maple Syrup 用户向 Google 托管的一个系统进行验证。(在本例中,对 WebSphere Portal 系统的使用只是偶然情况。)

图 1. SSO 连锁示例

时间: 2024-10-14 20:54:08

WebSphere Application Server SAML Trust Association Interceptor简介的相关文章

跨WebSphere Application Server安全域的SAML断言

简介 Security Assertion Markup Language (SAML) 是用于表示和交换用户 身份.身份验证和属性信息的 OASIS 开放标准.SAML 正在成为创建单点登录 (SSO) 解 决方案的常用技术.对于希望向其业务伙伴的已授权用户提供业务服务的公司,可以应 用这种技术创建 SSO 解决方案,从而跨企业联合 Web 服务资源. 请考虑一个业 务场景:您希望自己的用户能够访问伙伴公司的业务服务.最好的 SSO 效果是,用户只 需向您的企业验证身份,而不需要向其他公司验证

WebSphere Application Server on ibm i产品安装方法简介

本文介绍在IBM i 操作系统上如何快速安装WebSphere Application Server不同版本. 由于WebSphere Application Server产品不断快速更新,与之相应的安装方法也有所不同.本文介绍了在i 7.1上安装 WebSphere Application Server V8.5/8.0/7版本的不同方法. 通过IBM Web Administration for i 安装WebSphere Application Server 通过IBM Web Admin

在WebSphere Application Server V7中为WS-Addressing提供JAX-WS 2.1支持

IBM WebSphere Application Server V7 包括了对 Java API for XML-Based Web Services (JAX-WS) 2.1 规范的支持.JAX-WS 2.1 是 Java Specification Request (JSR) 224 的维护版本,通过增加新功能对 JAX-WS 2.0 规范提供的功能进行了扩展.其中最重要的新功能就是 在应用程序编程接口(Application Programming Interface,API)中支持 W

WebSphere Application Server 中现代化的基于 Java 的批处理(五)

保护作业调度程序 简介 IBM WebSphere Application Server V8.5 和更高版本为基于 Java 的批处理应用程序提供了一个实现平台.与丰富的编程模型和众多复杂特性相结合,比如跳过记录处理.并行处理.重试步骤处理.COBOL 支持以及与企业调度程序的集成,它还提供了企业级质量,即: 可用性 可恢复性 可伸缩性和性能 安全性. 对于批处理程序的执行,作业调度程序接受作业提交并确定在何处运行它们.作为管理作业的工作的一部分,作业调度程序将作业信息持久保存在一个外部作业数

WebSphere Application Server 中现代化的基于 Java 的批处理(四)

与企业调度程序相集成 简介 IBM WebSphere Application Server V8.5 和更高版本为基于 Java 的批处理应用程序提供了一个执行平台.除了提供功能丰富的编程模型和高级特性,比如并行处理.跳过记录处理.重试步骤处理和 COBOL 支持,它还为批处理程序提供了企业级 "质量",比如可用性.可恢复性和性能.与 WebSphere Application Server 支持相结合,WebSphere Batch 可成为一个富有吸引力的企业批处理解决方案选择.

WebSphere Application Server中现代化的基于 Java 的批处理(三)

企业批处理 简介 IBM WebSphere Application Server V8 为批处理添加了一个新容器,为基于 Java EE 的批处理应用程序的执行提供了一个环境.这个新的批容器提供了全面的功能,使它非常适合用作企业批处理基础架构提供程序.WebSphere Application Server V7 中提供的 Modern Batch 功能包开了一个好头,提供了一致的编程模型和工具,但不包含企业环境中需要的高级批处理功能.WebSphere Application Server

WebSphere Application Server中现代化的基于Java的批处理(一)

介绍 Modern Batch 和计算密集型的编程模型 简介 批处理程序是任何企业 IT 领域的一个传统且不可或缺的组件.目前的批处理发展趋势是将内部的 Java 技能应用于在线程序和批处理程序上,以确保: 最大限度地提高实现的重用. 更轻松的开发和维护,因为使用了相同的工具集. 企业标准和服务质量实施上的一致性. IBM 开发的解决方案提供了一种具有凝聚力的批处理程序管理模式.IBM WebSphere Application Server 的 Modern Batch 功能(可用于 WebS

WebSphere Application Server V7、V8和V8.5中的高级安全性加强 二

高级安全注意事项 简介 第 1 部分 解释了 IBM WebSphere Application Server V7.0 和更高版本在设计时如何考虑到默认安全性安全原则.目标是在最常见的配置和比较简单的环境中,让这个产品在默认情况下具有合理的安全水平(尽管这个目标还没有完美地实现).前一篇文章最后介绍了 WebSphere Application Server 中已经采用的许多重要的基于基础架构的预防性安全措施.本文将介绍基于应用程序的其他预防性措施,然后讨论一些重要的注意事项. 尽管本文中的信

WebSphere Application Server V7、V8 和 V8.5 中的高级安全性加强 一

简介 IBM WebSphere Application Server 的安全性在每个版本中都有所改进.除了在新版本中增加了一些新功能之外,我们还不断增强产品的默认安全性.我们通过改进默认设置不断提高满足默认安全性这一关键原则的程度.本文的前一个版本 主要关注 WebSphere Application Server V6 和那个版本所需的加强步骤.在后续 WebSphere Application Server 版本中,显著减少了加强步骤的数量,更重要的是,保留的大多数步骤变得不那么关键了.那