strong>Shibboleth是Internet2/MACE項目中其中的一個，得到了IBM的技術(shù)和資金支持，是一個使用標(biāo)準(zhǔn)語言描述的體系結(jié)構(gòu)和策略框架，支持安全Web資源和服務(wù)的共享，是安全斷言標(biāo)記語言(Security Assertion Markup Language)的一種實現(xiàn)。

根據(jù)SAML V1.1技術(shù)架構(gòu)文檔中描述的三個用例，Shibboleth綜合這些場景，實現(xiàn)了一個綜合的用例，其他應(yīng)用均可以看作這個用例的子集。

Shibboleth完整工作流

Shibboleth的綜合用例，指的是用戶未通過認(rèn)證，直接訪問遠(yuǎn)程站點(不同校區(qū)的站點)。其處理過程如下：

1. 用戶未在所屬IdP認(rèn)證，直接登陸遠(yuǎn)程站點。

2. SHIRE通過地址過濾，發(fā)現(xiàn)用戶訪問Shibboleth保護的資源。SHIRE通過詢問SHAR，發(fā)現(xiàn)用戶屬性沒有被緩存，則需要對用戶進行認(rèn)證/授權(quán)。SHIRE產(chǎn)生“瀏覽器發(fā)送配置文件”，通過與瀏覽器交互，以HTML表單的形式遞交給WAYF。

3. WAYF收到SHIRE發(fā)送的表單，通過分辨用戶所屬IdP的站點名，取得用戶所屬HS的地址。同時，生成“瀏覽器發(fā)送配置文件”并將它發(fā)送給HS。

4. 當(dāng)HS收到WAYF發(fā)送的“瀏覽器發(fā)送配置文件”時，發(fā)現(xiàn)用戶未通過驗證，則進行以下操作。

a) 通過CA，對用戶進行認(rèn)證。
b) 通知AA生成用戶屬性。

5. CA對用戶進行認(rèn)證，并產(chǎn)生Session，以保證用戶的唯一性。

6. HS產(chǎn)生“瀏覽器輔助配置文件”，通過瀏覽器使用HTML表單的形式遞交給SHIRE，以供判斷用戶的實時性。

7. SHIRE詢問SHAR關(guān)于該用戶的用戶屬性。SHAR向IdP的AA發(fā)送AQM消息查詢用戶屬性。

8. AA回復(fù)ARM，SHAR取得用戶權(quán)限，傳遞給SHIRE。

9. 取得用戶權(quán)限后，則可對用戶進行進行授權(quán)：可訪問/禁止訪問。到此，完成了一次完整的用戶認(rèn)證和授權(quán)。

Shibboleth的更多分析內(nèi)容請看：Shibboleth：用戶認(rèn)證的通道

【編輯推薦】

1. 簡化VPN身份認(rèn)證
2. 簡介SMTPi的身份認(rèn)證技術(shù)
3. 中國用戶對強身份認(rèn)證最積極
4. 2009數(shù)據(jù)中心變化之IT身份認(rèn)證
5. 分布式用戶認(rèn)證為單點登錄護航 上篇
6. 確保網(wǎng)上銀行安全的多重身份認(rèn)證方案
7. 網(wǎng)絡(luò)購物安全需警惕 身份認(rèn)證誰說了算