strong>Shibboleth是Internet2/MACE項(xiàng)目中其中的一個(gè)，得到了IBM的技術(shù)和資金支持，是一個(gè)使用標(biāo)準(zhǔn)語(yǔ)言描述的體系結(jié)構(gòu)和策略框架，支持安全Web資源和服務(wù)的共享，是安全斷言標(biāo)記語(yǔ)言(Security Assertion Markup Language)的一種實(shí)現(xiàn)。

根據(jù)SAML V1.1技術(shù)架構(gòu)文檔中描述的三個(gè)用例，Shibboleth綜合這些場(chǎng)景，實(shí)現(xiàn)了一個(gè)綜合的用例，其他應(yīng)用均可以看作這個(gè)用例的子集。

Shibboleth完整工作流

Shibboleth的綜合用例，指的是用戶(hù)未通過(guò)認(rèn)證，直接訪(fǎng)問(wèn)遠(yuǎn)程站點(diǎn)(不同校區(qū)的站點(diǎn))。其處理過(guò)程如下：

1. 用戶(hù)未在所屬I(mǎi)dP認(rèn)證，直接登陸遠(yuǎn)程站點(diǎn)。

2. SHIRE通過(guò)地址過(guò)濾，發(fā)現(xiàn)用戶(hù)訪(fǎng)問(wèn)Shibboleth保護(hù)的資源。SHIRE通過(guò)詢(xún)問(wèn)SHAR，發(fā)現(xiàn)用戶(hù)屬性沒(méi)有被緩存，則需要對(duì)用戶(hù)進(jìn)行認(rèn)證/授權(quán)。SHIRE產(chǎn)生“瀏覽器發(fā)送配置文件”，通過(guò)與瀏覽器交互，以HTML表單的形式遞交給WAYF。

3. WAYF收到SHIRE發(fā)送的表單，通過(guò)分辨用戶(hù)所屬I(mǎi)dP的站點(diǎn)名，取得用戶(hù)所屬HS的地址。同時(shí)，生成“瀏覽器發(fā)送配置文件”并將它發(fā)送給HS。

4. 當(dāng)HS收到WAYF發(fā)送的“瀏覽器發(fā)送配置文件”時(shí)，發(fā)現(xiàn)用戶(hù)未通過(guò)驗(yàn)證，則進(jìn)行以下操作。

a) 通過(guò)CA，對(duì)用戶(hù)進(jìn)行認(rèn)證。
b) 通知AA生成用戶(hù)屬性。

5. CA對(duì)用戶(hù)進(jìn)行認(rèn)證，并產(chǎn)生Session，以保證用戶(hù)的唯一性。

6. HS產(chǎn)生“瀏覽器輔助配置文件”，通過(guò)瀏覽器使用HTML表單的形式遞交給SHIRE，以供判斷用戶(hù)的實(shí)時(shí)性。

7. SHIRE詢(xún)問(wèn)SHAR關(guān)于該用戶(hù)的用戶(hù)屬性。SHAR向IdP的AA發(fā)送AQM消息查詢(xún)用戶(hù)屬性。

8. AA回復(fù)ARM，SHAR取得用戶(hù)權(quán)限，傳遞給SHIRE。

9. 取得用戶(hù)權(quán)限后，則可對(duì)用戶(hù)進(jìn)行進(jìn)行授權(quán)：可訪(fǎng)問(wèn)/禁止訪(fǎng)問(wèn)。到此，完成了一次完整的用戶(hù)認(rèn)證和授權(quán)。

Shibboleth的更多分析內(nèi)容請(qǐng)看：Shibboleth：用戶(hù)認(rèn)證的通道

【編輯推薦】

1. 簡(jiǎn)化VPN身份認(rèn)證
2. 簡(jiǎn)介SMTPi的身份認(rèn)證技術(shù)
3. 中國(guó)用戶(hù)對(duì)強(qiáng)身份認(rèn)證最積極
4. 2009數(shù)據(jù)中心變化之IT身份認(rèn)證
5. 分布式用戶(hù)認(rèn)證為單點(diǎn)登錄護(hù)航 上篇
6. 確保網(wǎng)上銀行安全的多重身份認(rèn)證方案
7. 網(wǎng)絡(luò)購(gòu)物安全需警惕 身份認(rèn)證誰(shuí)說(shuō)了算