在聯邦環(huán)境中,通常有下面的3種實體:
Subject主題):Subject是SAML實體中的第一個重要的概念,Subject包括了User、Entity、Workstation等能夠象征一個參與信息交換的實體。
RelyingParty信任方):SAML中的ServiceProvider角色,也就是提供服務的一方。
AssertingParty斷言方):SAML中的IdentityProvider角色,用于提供對主題的身份信息的正確的斷言,類似一個公證機構。
我們看看聯邦環(huán)境的一個場景:
假設有一個Peter(Subject)的法國公民,他需要訪問比利時(ServiceProvider),他在比利時機場被要求提供身份信息,Peter提供了歐盟(Federation)的通行證件,隨即,這個通行證件在比利時機場被審核,或通過計算機送到歐盟身份認證中心(IdentityProvider),該中心有一個由所有歐盟國家共同建立的公民數據庫,中心審核了Peter的身份信息,并斷言“Yes,HeisPeterFromFrance”,于是,Peter得到禮貌的回應“歡迎光臨比利時”。
如果你將歐盟看作是一個聯邦環(huán)境,你會發(fā)現上面的場景跟在聯邦環(huán)境應用SAML很相似。
在聯邦環(huán)境下,任何需要授權訪問的服務都需要知道服務請求方的身份主題信息(Whoareyou),服務提供方(ServiceProvider)不負責審核用戶的身份信息,但它依賴于1個甚至多個IdentityProvider來完成此任務,見下圖。
1個IdnetityProvider可以被多個ServiceProvider共享,當然,共享的前提是建立信任關系(即ServiceProvider要信任IdnetityProvider),就好比如,如果比利時(ServiceProvider)需要開放對歐盟國家成員訪問,它信任歐盟的IdnetityProvider,它信任歐盟的IdnetityProvider的任何判斷,包括”HeisPeterFromFrance”。至于是否讓Peter入境,那是受權限策略的控制(注意SAML同樣對Authorization斷言做了標準化,此處,我們僅僅關注Authentication)。
