strong>Shibboleth是Internet2/MACE項(xiàng)目中其中的一個(gè)，得到了IBM的技術(shù)和資金支持，是一個(gè)使用標(biāo)準(zhǔn)語(yǔ)言描述的體系結(jié)構(gòu)和策略框架，支持安全Web資源和服務(wù)的共享，是安全斷言標(biāo)記語(yǔ)言(Security Assertion Markup Language)的一種實(shí)現(xiàn)。

根據(jù)SAML V1.1技術(shù)架構(gòu)文檔中描述的三個(gè)用例，Shibboleth綜合這些場(chǎng)景，實(shí)現(xiàn)了一個(gè)綜合的用例，其他應(yīng)用均可以看作這個(gè)用例的子集。

Shibboleth完整工作流

Shibboleth的綜合用例，指的是用戶未通過認(rèn)證，直接訪問遠(yuǎn)程站點(diǎn)(不同校區(qū)的站點(diǎn))。其處理過程如下：

1. 用戶未在所屬IdP認(rèn)證，直接登陸遠(yuǎn)程站點(diǎn)。

2. SHIRE通過地址過濾，發(fā)現(xiàn)用戶訪問Shibboleth保護(hù)的資源。SHIRE通過詢問SHAR，發(fā)現(xiàn)用戶屬性沒有被緩存，則需要對(duì)用戶進(jìn)行認(rèn)證/授權(quán)。SHIRE產(chǎn)生“瀏覽器發(fā)送配置文件”，通過與瀏覽器交互，以HTML表單的形式遞交給WAYF。

3. WAYF收到SHIRE發(fā)送的表單，通過分辨用戶所屬IdP的站點(diǎn)名，取得用戶所屬HS的地址。同時(shí)，生成“瀏覽器發(fā)送配置文件”并將它發(fā)送給HS。

4. 當(dāng)HS收到WAYF發(fā)送的“瀏覽器發(fā)送配置文件”時(shí)，發(fā)現(xiàn)用戶未通過驗(yàn)證，則進(jìn)行以下操作。

a) 通過CA，對(duì)用戶進(jìn)行認(rèn)證。
b) 通知AA生成用戶屬性。

5. CA對(duì)用戶進(jìn)行認(rèn)證，并產(chǎn)生Session，以保證用戶的唯一性。

6. HS產(chǎn)生“瀏覽器輔助配置文件”，通過瀏覽器使用HTML表單的形式遞交給SHIRE，以供判斷用戶的實(shí)時(shí)性。

7. SHIRE詢問SHAR關(guān)于該用戶的用戶屬性。SHAR向IdP的AA發(fā)送AQM消息查詢用戶屬性。

8. AA回復(fù)ARM，SHAR取得用戶權(quán)限，傳遞給SHIRE。

9. 取得用戶權(quán)限后，則可對(duì)用戶進(jìn)行進(jìn)行授權(quán)：可訪問/禁止訪問。到此，完成了一次完整的用戶認(rèn)證和授權(quán)。

Shibboleth的更多分析內(nèi)容請(qǐng)看：Shibboleth：用戶認(rèn)證的通道

【編輯推薦】

1. 簡(jiǎn)化VPN身份認(rèn)證
2. 簡(jiǎn)介SMTPi的身份認(rèn)證技術(shù)
3. 中國(guó)用戶對(duì)強(qiáng)身份認(rèn)證最積極
4. 2009數(shù)據(jù)中心變化之IT身份認(rèn)證
5. 分布式用戶認(rèn)證為單點(diǎn)登錄護(hù)航 上篇
6. 確保網(wǎng)上銀行安全的多重身份認(rèn)證方案
7. 網(wǎng)絡(luò)購(gòu)物安全需警惕 身份認(rèn)證誰(shuí)說了算