最近再搞統(tǒng)一認(rèn)證的問(wèn)題�,了解了一下聯(lián)合認(rèn)證���。查了一些資料�,匯總一下�����。
聯(lián)合認(rèn)證是指以分散式的用戶管理和用戶認(rèn)證為特征的����,使得用戶可以以安全可信的方式跨系統(tǒng)���、跨網(wǎng)絡(luò)�����、跨域訪問(wèn)資源的認(rèn)證技術(shù),聯(lián)合認(rèn)證的主要目的是在異構(gòu)系統(tǒng)和身份平臺(tái)之間共享用戶身份信息��,并實(shí)現(xiàn)用戶使用效果上的單點(diǎn)登錄���。
聯(lián)合認(rèn)證與集中式單點(diǎn)登錄的核心區(qū)別在于聯(lián)合認(rèn)證中沒(méi)有統(tǒng)一的認(rèn)證實(shí)體為所有用戶提供認(rèn)證服務(wù)�����,聯(lián)合認(rèn)證的這個(gè)特點(diǎn)正好迎合了企業(yè)和機(jī)構(gòu)需要獨(dú)立管理和認(rèn)證用戶的應(yīng)用需求�。
聯(lián)合認(rèn)證系統(tǒng)支持多個(gè)用戶身份認(rèn)證服務(wù)器�����,所有身份認(rèn)證服務(wù)器和與它們相關(guān)的應(yīng)用系統(tǒng)���,共同組成的用戶可訪問(wèn)的一個(gè)區(qū)域�,稱為聯(lián)盟(federation)��,聯(lián)盟中的用戶被分散的存儲(chǔ)在多個(gè)認(rèn)證中心中�。
聯(lián)合認(rèn)證的實(shí)現(xiàn)原理是在多個(gè)域之上抽象出一個(gè)安全的傳輸層,用于用戶認(rèn)證狀態(tài)和授權(quán)狀態(tài)的跨域傳輸����。當(dāng)用戶在其所屬認(rèn)證中心登陸���,其所屬認(rèn)證中心為用戶生成認(rèn)證狀態(tài)�����。當(dāng)該用戶對(duì)其他域的資源進(jìn)行訪問(wèn)時(shí)�����,這些資源以某種方式獲取用戶所屬認(rèn)證中心�,即維護(hù)該用戶認(rèn)證和授權(quán)狀態(tài)的實(shí)體���,并在安全傳輸層之上���,與該認(rèn)證中心建立通信��,獲取該用戶的認(rèn)證狀態(tài)和授權(quán)狀態(tài)���,然后對(duì)用戶進(jìn)行訪問(wèn)控制��。
簡(jiǎn)而言之,聯(lián)合認(rèn)證實(shí)現(xiàn)了跨域的用戶認(rèn)證狀態(tài)和授權(quán)狀態(tài)的安全共享,完成用戶無(wú)縫的跨域安全訪問(wèn)����,實(shí)現(xiàn)用戶使用效果上的單點(diǎn)登錄�。
除去普通情況下單點(diǎn)登錄的一系列優(yōu)勢(shì)外�,聯(lián)合認(rèn)證的實(shí)施還可以為企業(yè)帶來(lái):
1、企業(yè)不必花費(fèi)開(kāi)銷管理和維護(hù)其合作伙伴和客戶的用戶信息,節(jié)約企業(yè)運(yùn)營(yíng)成本���;
2、通過(guò)向其他企共享信息資源和利用其他企業(yè)共享的信息資源,擴(kuò)大企業(yè)業(yè)務(wù)范圍�,從而帶來(lái)的盈利機(jī)會(huì)��;
聯(lián)合認(rèn)證領(lǐng)域發(fā)展至今已經(jīng)取得了一定的成果,產(chǎn)生了眾多的業(yè)界標(biāo)準(zhǔn)規(guī)范�����,同時(shí)也出現(xiàn)了一些聯(lián)合認(rèn)證的系統(tǒng)實(shí)現(xiàn)�����。
業(yè)界標(biāo)準(zhǔn)規(guī)范主要以SAML、Liberty ID-FF和WS-Federation為代表;在系統(tǒng)實(shí)現(xiàn)方面����,開(kāi)源的Shibboleth項(xiàng)目和惠普商業(yè)軟件Select Federation都具有典型特點(diǎn)����。