saml2.0
背景
当企业采用基于云的服务时,它们将通过多个独立业务合作伙伴的联合为最终用户提供服务。 每个业务伙伴必须能够为最终用户提供他们的服务。 但是,很多时候在需要服务之前向所有最终用户提供所有服务是不切实际的。 取而代之的是,企业通过在合作伙伴首次登录服务时为其提供最终用户的服务,从而采用了及时的方法。
联合身份管理概念
在身份管理中,联合会是一组两个或多个一起工作的业务伙伴。 图1说明了联合身份管理中的基本概念。 身份提供者(IDP)是负责对最终用户进行身份验证并向受信任的业务合作伙伴声明该用户的受信任身份的权威站点。 提供服务但不充当身份提供者的业务伙伴称为服务提供者(SP)。 这种职责划分允许服务提供商将身份验证和访问管理成本分担给身份提供商,并接收有关客户的受信任信息,而无需客户在服务提供商处单独注册。
图1.联合身份管理概念
IBM Tivoli Federated Identity Manager(TFIM)是IBM解决方案,可为跨多个身份和服务提供商的最终用户提供Web和联合单点登录(SSO)。 TFIM使用各种行业标准的安全性令牌和协议(例如WS-Provisioning)来支持最终用户SSO,并为Web服务调用提供Web服务安全性。
联合身份配置
供应是企业身份管理中的关键元素。 当用户的帐户状态发生更改时,将在公司的内部信任域中触发帐户设置。 例如,雇用新雇员时必须创建一个新的用户帐户,或者当雇员更换工作时可能需要修改用户帐户权限。 这些类型的活动称为身份提供。
联合身份供应将这些供应管理活动扩展到单个公司的范围之外,并将身份供应活动扩展到联盟中的服务提供商。 服务提供商在获知联合供应请求后,可以执行将其服务提供给指定最终用户所必需的本地供应。
WS-Provisioning是IBM编写的规范,旨在提供一个Web服务接口来传达供应请求和响应。 但是,使用此机制要求在用户可以实际执行联合身份访问服务之前,在服务提供者处创建用户身份。 可以使用本文介绍的方法及时进行此设置过程。
即时调配
借助即时供应,最终用户在首次尝试访问服务提供商的服务时就在服务提供商处供应(创建或更新)最终用户身份,而无需身份提供商与供应商之间的先前身份供应活动。服务提供商。
同样在即时供应中,身份提供商可以包括服务提供商用于供应最终用户所需的属性。 这些属性可以包括诸如用户名,名字,姓氏和电子邮件地址之类的信息,并打包在诸如安全声明标记语言(SAML)断言之类的安全令牌中。 当最终用户作为单点登录的一部分访问服务提供者时,身份提供者将此SAML断言发送给服务提供者。 如果提供的用户名不存在匹配项,则服务提供商将使用SAML断言中包含的最终用户属性创建一个新帐户。 服务提供商还立即向最终用户授予对所请求服务的访问权限。
如果找到匹配项,并且最终用户确实存在一个帐户,则服务提供商将根据SAML断言中的属性信息更新该帐户。 支持多种属性(例如,可以为新帐户或现有帐户指定配置文件ID); 因此,联盟业务伙伴对帐户创建和更新过程具有细粒度的控制。
下一节从服务提供商的角度说明了即时调配方案。
即时调配用例
甲公司是一家大型公司,提供各种就业福利,例如补贴的医疗保险,退休储蓄计划以及其他与就业相关的服务。 为了降低员工成本,A公司将这些员工福利外包给了第三方福利提供者B公司。B公司提供了一项托管服务,A公司的员工可以使用该服务以获得就业福利服务。
假设有一个新员工John Doe加入了A公司,并获得了一组凭证,例如ID和密码,以便在访问A公司的内部应用程序时使用。 约翰需要能够访问在公司B托管的他的福利信息。这通常要求公司B使用公司A和公司B之间的手动过程或后端数据交换过程为约翰创建一个帐户。此步骤通常不在外部联合单点登录的上下文,并且需要在用户尝试访问其在B公司的权益之前完成。
但是,有了B公司的即时供应解决方案,当John Doe首次访问B公司的网站时,基于SAML的联合单点登录过程使B公司能够自动创建John Doe的帐户并授予获得他的员工福利。
即时供应系统的组件
图2显示了解决方案的组件以及它们之间交互的高级逻辑描述。
图2.即时供应系统的组件
图2所示的组件之间的主要交互是:
- 身份提供者对最终用户进行身份验证和授权,然后使用IBM或第三方联合身份验证工具向服务提供者提供SAML 2.0声明。
- SAML 2.0断言令牌包括在服务提供商处供应用户所需的属性。 属性可以包括诸如用户ID,名字,姓氏,职务,部门,角色和电子邮件地址之类的信息。
- WebSEAL组件充当服务提供商处的联系点服务器,并在服务提供商处实现对所请求服务的单点登录。
- Tivoli Fede
最低0.47元/天 解锁文章
2324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
