【正文】 作流Web服務(wù)標準（在該標準中，安全的數(shù)據(jù)需要流經(jīng)幾個系統(tǒng)才能完成對事務(wù)的處理）而言，這很重要。SAML是旨在減少構(gòu)建和操作信息系統(tǒng)（這些系統(tǒng)在許多服務(wù)提供者之間相互操作）所花費成本的眾多嘗試之一。在當今競爭激烈且迅速發(fā)展的環(huán)境中，出現(xiàn)了通過瀏覽器和支持Web的應(yīng)用程序為用戶提供互操作性的企業(yè)聯(lián)合。例如，旅游網(wǎng)站允許用戶不必進行多次登錄即可預訂機票和租車。今天，一大群軟件開發(fā)人員、QA技術(shù)人員和IT經(jīng)理都需要處理復雜的和不可靠的后端系統(tǒng)，這些系統(tǒng)提供了企業(yè)之間的聯(lián)合安全性。在典型的支持Web的基礎(chǔ)結(jié)構(gòu)中，運行業(yè)界領(lǐng)先的企業(yè)系統(tǒng)的軟件需要處理權(quán)限服務(wù)器之間的瀏覽器重定向、服務(wù)器域之間的HTTPpost命令、公鑰基礎(chǔ)結(jié)構(gòu)（publickeyinfrastructure，PKI）加密和數(shù)字證書，以及聲明任何給定用戶或組的信任級別的相互同意（mutuallyagreedupon）機制。SAML向軟件開發(fā)人員展示了如何表示用戶、標識所需傳送的數(shù)據(jù)，并且定義了發(fā)送和接收權(quán)限數(shù)據(jù)的過程。. 身份認證系統(tǒng)主要功能集中認證系統(tǒng)的主要功能包括：支持多種認證方式，包括用戶名/口令、數(shù)字證書、Windows域認證和通行碼，并且為其他認證技術(shù)留有接口；支持多種認證協(xié)議，包括支持數(shù)字證書認證的SSL協(xié)議，Windows域認證，SAML協(xié)議等；支持單點登錄支持會話管理管理用戶的認證憑證信息，如數(shù)字證書等；制定身份認證的安全策略，如定義認證模式和安全等級等；認證系統(tǒng)模塊管理，如對應(yīng)用認證網(wǎng)關(guān)的管理等。. 單點登錄單點登錄是集中認證管理的主要功能，本部分從功能實現(xiàn)原理，系統(tǒng)硬件配置，單點登錄實現(xiàn)流程等方面進行說明。. 單點登錄技術(shù)軟件應(yīng)用插件式網(wǎng)關(guān)（WEB攔截器技術(shù)）Web攔截器（InterceptingWebAgent）是一種基于過濾技術(shù)（Filter）的應(yīng)用防火墻。使用Web攔截器在請求到達之前來攔截請求，并在應(yīng)用外部提供認證和授權(quán)。例如，對于沒有或有很少安全措施的應(yīng)用，必須提供合適的認證和授權(quán)。因此，可使用攔截Web代理提供適當?shù)谋Ｗo，而不是修改代碼或重寫Web層。Web攔截器可以安裝在Web服務(wù)器中，通過在Web服務(wù)器上攔截入站請求和執(zhí)行訪問控制策略，來對入站請求進行認證和授權(quán)。對于本身不能實現(xiàn)安全或難以修改的應(yīng)用，通過將安全與應(yīng)用分離，提供一種理想的安全保護方法，它還可以集中管理與安全相關(guān)的組件。安全策略及其實現(xiàn)細節(jié)是在應(yīng)用外部實施的，因此可以修改，而不會影響應(yīng)用。攔截Web代理將安全邏輯與應(yīng)用邏輯分開，從而提高了可維護性。通常，攔截Web代理的實現(xiàn)制要求配置，而無需修改代碼。另外，通過將與安全相關(guān)的處理轉(zhuǎn)移到應(yīng)用之外（即服務(wù)器上），攔截Web代理還提高了應(yīng)用的性能。在Web服務(wù)器上，沒有通過認證和授權(quán)的請求將被拒絕，因此不會占用應(yīng)用的額外周期。硬件應(yīng)用網(wǎng)關(guān)(安全代理服務(wù))使用安全服務(wù)代理（SecureServiceProxy）在應(yīng)用外提供認證和驗證，這是通過攔截安全檢查請求，然后將其委派給合適的服務(wù)實現(xiàn)的。硬件網(wǎng)關(guān)系統(tǒng)邏輯架構(gòu)如下圖所示。安全服務(wù)代理攔截來自客戶端的所有請求，確定請求服務(wù)，然后執(zhí)行服務(wù)要求的安全策略，并將請求從入站協(xié)議轉(zhuǎn)換為目標服務(wù)要求的協(xié)議，最后將請求轉(zhuǎn)發(fā)給目標服務(wù)。在返回路徑上，安全服務(wù)代理將結(jié)果從服務(wù)使用的協(xié)議和格式轉(zhuǎn)換為客戶要求的協(xié)議和格式。它也可以保留客戶會話中首次請求創(chuàng)建的安全上下文，供以后的請求使用?？稍谄髽I(yè)外圍配置安全服務(wù)代理提供認證、授權(quán)和其他安全服務(wù)，為遺留的或缺少安全機制的輕量級企業(yè)服務(wù)實施安全策略。安全服務(wù)代理模式與Web攔截器模式類似，但安全服務(wù)代理模式更高級，因為它不要求使用基于HTTP的URL訪問控制，也不要求使用任何傳輸協(xié)議將服務(wù)請求交給任何服務(wù)。它可以在已實現(xiàn)和已部署的應(yīng)用外執(zhí)行額外安全邏輯，也可以與沒有實現(xiàn)安全的新應(yīng)用集成。硬件應(yīng)用網(wǎng)關(guān)代理工作原理瀏覽器發(fā)起請求包數(shù)據(jù)采集模塊截獲請求包并轉(zhuǎn)發(fā)給數(shù)據(jù)解析模塊數(shù)據(jù)解析模塊解析數(shù)據(jù)包將解析后的數(shù)據(jù)包交由數(shù)據(jù)處理模塊處理處理過的數(shù)據(jù)轉(zhuǎn)發(fā)給webappWebapp返回的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理模塊，返回瀏覽器應(yīng)用網(wǎng)關(guān)負載均衡工作原理加入到網(wǎng)關(guān)集群中的所有硬件網(wǎng)關(guān)按照指定優(yōu)先級策略進行主/從協(xié)商，確定1個硬件網(wǎng)關(guān)為主設(shè)備，其他為從設(shè)備。主設(shè)備兼有交換機的功能，所有來自客戶瀏覽器的請求包首先到達主設(shè)備（不會直接到達從設(shè)備）主設(shè)備根據(jù)負載均衡策略分發(fā)請求包（可能分發(fā)給自己，也可能分發(fā)給從設(shè)備），包分發(fā)到目標硬件網(wǎng)關(guān)后，開始后續(xù)處理，請求處理完成后經(jīng)由主設(shè)備返回給瀏覽器。. 單點登錄實現(xiàn)流程基于門戶的單點登錄流程：1用戶訪問統(tǒng)一登錄入口的URL地址2用戶進入統(tǒng)一認證界面3用戶選擇合適的登錄方式（支持4種登錄方式），輸入正確的登錄信息4主賬戶認證成功，產(chǎn)生主賬戶登錄成功票據(jù)5返回用戶可訪問應(yīng)用列表，用戶進入可訪問應(yīng)用列表頁面6用戶選擇點擊要進入的應(yīng)用鏈接7產(chǎn)生鑒證斷言8將瀏覽器重定向到網(wǎng)關(guān)9網(wǎng)關(guān)驗證鑒證斷言，取出用戶登錄應(yīng)用所需信息10網(wǎng)關(guān)將用戶登錄信息注入到應(yīng)用帳戶登錄請求中，將請求發(fā)送給應(yīng)用11應(yīng)用帳戶登錄成功，則轉(zhuǎn)到17步，否則繼續(xù)12用戶進入應(yīng)用登錄界面13用戶輸入正確的應(yīng)用登錄所需的帳戶信息14應(yīng)用驗證登錄信息15登錄驗證失敗，則轉(zhuǎn)12步16網(wǎng)關(guān)將正確的帳戶登錄信息發(fā)送到服務(wù)器上，更新從賬戶信息17用戶正常訪問應(yīng)用8） 集中審計管理集中審計系統(tǒng)提供全方位的用戶管理、證書管理、認證管理和授權(quán)管理的審計信息，支持應(yīng)用系統(tǒng)、用戶登錄、管理操作等審計管理。其中具體的審計功能和內(nèi)容主要包括以下部分：對賬號分配情況的審計。包括主賬號與自然人的對應(yīng)關(guān)系，主賬號與從賬號的對應(yīng)關(guān)系，主賬號的創(chuàng)建時間、創(chuàng)建人，從賬號的創(chuàng)建時間、創(chuàng)建人，將從賬號分配給從賬號的分配時間、分配者，主、從賬號的有限期、密碼更改規(guī)則等。對賬號授權(quán)的審計。包括查詢主、從賬號的訪問權(quán)限，查詢資源的授權(quán)訪問者，權(quán)限的分配時間、分配者等。對登錄過程的審計。包括什么人用什么賬號在什么時間登錄了什么系統(tǒng)。對身份認證的審計。包括成功的身份認證統(tǒng)計，失敗的身份認證統(tǒng)計等。對登錄后用戶行為的審計。如果集中授權(quán)模塊能夠達到實體內(nèi)部資源級，或者應(yīng)用經(jīng)過改造后能夠向集中審計模塊提供日志記錄，或者集中審計模塊能夠讀取應(yīng)用的日志記錄，則4A框架下的集中安全審計模塊還可以對登錄后的用戶行為進行審計，包括用戶訪問了哪些資源、對資源進行了什么操作等，在此基礎(chǔ)上可以實現(xiàn)對誤操作過程的追溯。THANKS !!!致力為企業(yè)和個人提供合同協(xié)議，策劃案計劃書，學習課件等等打造全網(wǎng)一站式需求歡迎您的下載，資料僅供參考可修改編輯