最近再搞統(tǒng)一認(rèn)證的問題,了解了一下聯(lián)合認(rèn)證。查了一些資料,匯總一下。
聯(lián)合認(rèn)證是指以分散式的用戶管理和用戶認(rèn)證為特征的,使得用戶可以以安全可信的方式跨系統(tǒng)、跨網(wǎng)絡(luò)、跨域訪問資源的認(rèn)證技術(shù),聯(lián)合認(rèn)證的主要目的是在異構(gòu)系統(tǒng)和身份平臺(tái)之間共享用戶身份信息,并實(shí)現(xiàn)用戶使用效果上的單點(diǎn)登錄。
聯(lián)合認(rèn)證與集中式單點(diǎn)登錄的核心區(qū)別在于聯(lián)合認(rèn)證中沒有統(tǒng)一的認(rèn)證實(shí)體為所有用戶提供認(rèn)證服務(wù),聯(lián)合認(rèn)證的這個(gè)特點(diǎn)正好迎合了企業(yè)和機(jī)構(gòu)需要獨(dú)立管理和認(rèn)證用戶的應(yīng)用需求。
聯(lián)合認(rèn)證系統(tǒng)支持多個(gè)用戶身份認(rèn)證服務(wù)器,所有身份認(rèn)證服務(wù)器和與它們相關(guān)的應(yīng)用系統(tǒng),共同組成的用戶可訪問的一個(gè)區(qū)域,稱為聯(lián)盟(federation),聯(lián)盟中的用戶被分散的存儲(chǔ)在多個(gè)認(rèn)證中心中。
聯(lián)合認(rèn)證的實(shí)現(xiàn)原理是在多個(gè)域之上抽象出一個(gè)安全的傳輸層,用于用戶認(rèn)證狀態(tài)和授權(quán)狀態(tài)的跨域傳輸。當(dāng)用戶在其所屬認(rèn)證中心登陸,其所屬認(rèn)證中心為用戶生成認(rèn)證狀態(tài)。當(dāng)該用戶對(duì)其他域的資源進(jìn)行訪問時(shí),這些資源以某種方式獲取用戶所屬認(rèn)證中心,即維護(hù)該用戶認(rèn)證和授權(quán)狀態(tài)的實(shí)體,并在安全傳輸層之上,與該認(rèn)證中心建立通信,獲取該用戶的認(rèn)證狀態(tài)和授權(quán)狀態(tài),然后對(duì)用戶進(jìn)行訪問控制。
簡而言之,聯(lián)合認(rèn)證實(shí)現(xiàn)了跨域的用戶認(rèn)證狀態(tài)和授權(quán)狀態(tài)的安全共享,完成用戶無縫的跨域安全訪問,實(shí)現(xiàn)用戶使用效果上的單點(diǎn)登錄。
除去普通情況下單點(diǎn)登錄的一系列優(yōu)勢外,聯(lián)合認(rèn)證的實(shí)施還可以為企業(yè)帶來:
1、企業(yè)不必花費(fèi)開銷管理和維護(hù)其合作伙伴和客戶的用戶信息,節(jié)約企業(yè)運(yùn)營成本;
2、通過向其他企共享信息資源和利用其他企業(yè)共享的信息資源,擴(kuò)大企業(yè)業(yè)務(wù)范圍,從而帶來的盈利機(jī)會(huì);
聯(lián)合認(rèn)證領(lǐng)域發(fā)展至今已經(jīng)取得了一定的成果,產(chǎn)生了眾多的業(yè)界標(biāo)準(zhǔn)規(guī)范,同時(shí)也出現(xiàn)了一些聯(lián)合認(rèn)證的系統(tǒng)實(shí)現(xiàn)。
業(yè)界標(biāo)準(zhǔn)規(guī)范主要以SAML、Liberty ID-FF和WS-Federation為代表;在系統(tǒng)實(shí)現(xiàn)方面,開源的Shibboleth項(xiàng)目和惠普商業(yè)軟件Select Federation都具有典型特點(diǎn)。