?????????互聯(lián)網(wǎng)安全方面最具挑戰(zhàn)性的一個問題是維持一次無縫操作和安全環(huán)境時, 使各不相同的安全系統(tǒng)達到一體化。由于一些公司經(jīng)常需要通過網(wǎng)絡(luò)來交換機密的資料或數(shù)據(jù),因此,對于安全意義非常重大的Web服務(wù)來說,對這種功能的要求尤為重要,比如進行電子商務(wù)活動。?
?
結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進組織(OASIS)建立的安全標(biāo)準(zhǔn)SAML(安全聲明標(biāo)記語言),是基于XML(可擴展標(biāo)記語言)面向Web服務(wù)的架構(gòu)。SAML通過因特網(wǎng)對不同的安全系統(tǒng)的信息交換進行處理。
了解SAML
?????????SAML并不是一項新技術(shù)。確切地說,它是一種語言,進行單一的XML描述,允許不同安全系統(tǒng)產(chǎn)生的信息進行交換。通常來說,一個企業(yè)物理或邏輯的范圍已經(jīng)界定了企業(yè)的IT安全;然而,由于在線合作需要共享更可靠的安全服務(wù)環(huán)境,因此IT安全越來越成為人們關(guān)注的重點問題。
?????????SAML正是為解決網(wǎng)絡(luò)安全性問題而發(fā)揮其作用。SAML在傳統(tǒng)意義上的安全界定與商務(wù)站點之間,建立了一種安全信息的交換渠道。SAML作為安全信息交換的"中間人",促使一個站點上的交易業(yè)務(wù)能夠在另一個信任的站點上得到處理完成。由此可見,實現(xiàn)交易雙方商業(yè)協(xié)議或合作的一個先決條件,是要求使用SAML作為共享的安全架構(gòu)的一部份。
SAML是如何工作的
?????????SAML在標(biāo)準(zhǔn)行業(yè)傳輸協(xié)議環(huán)境里工作,例如HTTP、SMTP和FTP;同時也服務(wù)于各種各樣的XML文件交換框架,如:SOAP和BizTalk。SAML具備的一個最突出的好處,是使用戶能夠通過因特網(wǎng)進行安全證書移動。也就是說,使用SAML標(biāo)準(zhǔn)作為安全認(rèn)證和共享資料的中間語言,能夠在多個站點之間實現(xiàn)單點登錄。
?????????此外,SAML還針對不同的安全系統(tǒng)提供了一個共有的框架,允許企業(yè)及其供應(yīng)商、客戶與合作伙伴進行安全的認(rèn)證、授權(quán)和基本信息交換。由于SAML是通過XML對現(xiàn)有的安全模式進行描述,因此它是一個中立的平臺并且不需要依賴于供應(yīng)商的基礎(chǔ)結(jié)構(gòu)。
Web瀏覽器-SAML聲明是由一個Web瀏覽器通過cookies或URL鏈接進行通信。
HTTP - SAML聲明通過標(biāo)題或一個HTTP POST ,從源站點傳送到目的站點。
MIME - SAML 聲明被封裝為一個單一的MIME(多用途網(wǎng)際郵件擴充協(xié)議)安全包,由消息的有效載荷組成,例如:一張定購單、或在線銀行的信用報告書等等。
SOAP - SAML 聲明限制/約束SOAP文檔的信封標(biāo)題以保證有效載荷。
?????????ebXML- 電子商務(wù)全球化標(biāo)準(zhǔn)提供了一個基于MIME的封裝結(jié)構(gòu),通常用于綁定SAML聲明進行商業(yè)有效載荷。
?????????若你所見,SAML使用的對象稱為斷言或聲明。這些聲明由值得信任的權(quán)威安全機構(gòu),通過使用請求/響應(yīng)協(xié)議(SAMLQuery, SAML QueryResponse)產(chǎn)生并發(fā)送。SAML在XML中為認(rèn)證聲明和認(rèn)證屬性建立了一個數(shù)據(jù)格式,其參數(shù)取決于安全服務(wù)產(chǎn)生的基于政策的認(rèn)證結(jié)果。
SAML的消息格式能夠從一個源站點(站點起到SAML認(rèn)證管理機構(gòu)的作用)將聲明發(fā)送給一個接受者。使電子商務(wù)合作中的事務(wù)處理速度得到加快,并且使認(rèn)證環(huán)境的復(fù)雜性得到全面的簡化。事實上,SAML并沒有創(chuàng)建安全政策,而是由相關(guān)的安全權(quán)威機構(gòu)進行制定;但是SAML為這些安全政策的表達提供了標(biāo)準(zhǔn)格式,因此安全決議能夠得到有效地制定。
SAML的工作原理
1.用戶向認(rèn)證機構(gòu)提交證書(這里的認(rèn)識機構(gòu)是指SAML能夠識別的任何安全引擎或商業(yè)應(yīng)用程序)。
2.認(rèn)證機構(gòu)對用戶的證書進行斷言,并且產(chǎn)生一個認(rèn)證聲明以及一個或更多的屬性聲明(例如用戶資料信息)。用戶立即就會得到由SAML斷言的認(rèn)證和識別標(biāo)志。
3.用戶使用這個SAML標(biāo)志嘗試訪問一個受保護的資源。
4.最終用戶對保護資源的訪問請求被PEP(Policy Enforcement Point)截取,同時最終用戶的SAML標(biāo)志(認(rèn)證聲明)被PEP提交給屬性管理(能夠被SAML識別的任何安全引擎或商業(yè)應(yīng)用程序)。
5.屬性管理或PDP(Policy Decision Point)基于自身的政策標(biāo)準(zhǔn)產(chǎn)生一個決定。一旦批準(zhǔn)最終用戶對保護資源進行訪問,就會產(chǎn)生一個附加在SAML標(biāo)志上的屬性聲明。最終用戶的SAML標(biāo)志就能夠以單點登錄方式呈現(xiàn)給信任的商業(yè)伙伴。
SAML如何使用
介紹幾種SAML的使用方式
單點登錄
?????????舉一個簡單的例子:用戶在一個站點上取得認(rèn)證授權(quán),當(dāng)用戶需要訪問另一個相關(guān)站點的資源時,目的站點(保護資源的持有者)能夠使用SAML從源站點調(diào)取用戶的證書信息。此時SAML對信息交換的處理發(fā)生在后臺,因此用戶的資源實際上被不同的安全系統(tǒng)進行了定位。
授權(quán)服務(wù)
?????????通常來說,當(dāng)一個用戶請求訪問一個動態(tài)保護的或受限制的Web 資源時,訪問請求已被傳遞給一個后端應(yīng)用程序。SAML使合作組織的后端安全架構(gòu)相互作用,確定是否他們準(zhǔn)予用戶的訪問請求。
B2B
?????????在B2B情形中,參與在線商業(yè)合作的雙方能夠利用SAML,允許他們各自的安全架構(gòu)彼此進行信息交換,從而使商業(yè)活動得到安全快捷的進行。或者,合伙人通過使用值得信任的第三方SAML B2B服務(wù),在交易過程中對安全信息進行交換和斷言。
會話
????????當(dāng)用戶采用單點登錄方式并且保持會話參數(shù)和通過不同資源站點的數(shù)據(jù)時,SAML能夠允許用戶在不同站點自由行進。源站點提供證書信息,目的站點保持會話對所需要的數(shù)據(jù)進行驗證。在這個過程中,用戶可能并沒有意識到后臺正在進行的相關(guān)安全處理。
掌握SAML的實際應(yīng)用知識
?????????企業(yè)管理者需要知道SAML能夠提供哪些服務(wù)。SAML促進了不同安全系統(tǒng)之間的互操作性,是Web服務(wù)功能性方面的一大發(fā)展。在許多情形中,管理將越來越需要對安全問題進行監(jiān)督,并且實現(xiàn)安全標(biāo)準(zhǔn)的通信。