51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Shibboleth:用户认证的通道

作者:佚名
安全 数据安全
Shibboleth涉及4个方面的内容:用户认证机制;用户资料的传递机制;用户真实性的鉴别;用户认证和授权信息的保密机制。这些,都属于信息安全领域的研究范畴。

Shibboleth的目的是对用户进行统一的认证。通过用户所属的源站点对用户进行认证和授权,从而使得联盟中各个站点能够对用户进行认证和授权。 

Shibboleth组件与协议

Shibboleth中包含7个部分组件,其中5个为Shibboleth实现,2个需要用户实现。

SP端(target)

SP(Service provider)端是资源/服务提供端,主要作用是过滤用户的资源请求,并向该用户所在的IdP查询用户的属性,然后根据属性作出允许或拒绝访问资源的决策。

SHIRE

资源的保护者。过滤HTTP请求,当遇到指定的HTTP请求时,向SHAR发送用户属性查询句柄(AQH)。经过一些列处理后SHAR会返回用户属性。通过用户属性中规定的用户权限,决定用户对资源的权限。同时,SHIRE还要完成对用户属性句柄的请求操作。

SHAR

用户属性的缓存。通过发送AQM与IdP中的AA联系,取得用户属性,然后通过cookie形式缓存下来,当SHIRE查询用户属性时,通过检查cookie以及与AA联系等操作,返回用户属性。因此,何时向AA发送AQM,当AA返回ARM时SHAR该如何处理,何时向SHIRE报告用户属性,这需要一套机制,也是APP(attribute acceptance policy)存在的原因。

WAYF

WAYF是系统中的一个组件,用以完成IdP站点名与HS之间的映射。同时,WAYF会向HS发送“浏览器发送配置文件”,从而引发HS一系列的反应,最后使得HS向SHIRE的某个特定的URL返回“浏览器辅助诊断文件”。

IdP端(origin)

IdP是身份提供端,主要作用是向SP提供用户属性,以便使SP根据用户属性对用户操作授权。

HS

用户身份的鉴别机构。HS的主要作用是等待SHIRE发送的“浏览器发送配置文件”,当接受到该文件时,通知AA与CA进行相应的处理,然后返回“浏览器辅助配置文件”给SHIRE。

AA

用户属性的生成机构,决定是否生成用户属性。通过判断用户的session,来判断使用已经存在的用户属性,还是生成新的用户属性,同时保持用户的session。因此,AA中定义了ARP(用户属性颁布策略),用以决定是否生成用户属性,何时发送用户属性。同时AA要完成与SHAR的通信,通过AQM与ARM完成AA发布用户属性的操作。

CA

认证中心。主要作用是完成对用户的认证,存储用户的权限,当需要对用户进行认证与权限请求时,验证用户的USER/PASS或者验证用户的证书,完成对用户的鉴别。

用于通信的消息

Shibboleth作为SAML的一种实现,需要完成用户/浏览器、源端和目的端之间的通信。SAML中规定的配置文件和查询/响应协议,Shibboleth都进行了完整的实现。查询/响应协议规定了AA与SHAR之间的协作和通信;配置文件规定了SHIRE、WAYF和HS之间的协作与通信。

浏览器发送配置文件

Shibboleth中包含了两种浏览器发送配置文件:SHIRE发送给WAYF的和WAYF发送给HS的。

1. 用户发往WAYF的浏览器发送配置文件:当SHIRE遇到不能识别的用户时,它将用户重定向到WAYF服务器,同时发出用户句柄请求。此时,用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过WAYF服务器中的认证表单,选定所属的IDP,并将该表单提交给WAYF。

2. WAYF发给HS的浏览器发送配置文件:当WAYF将用户所属IDP与该IDP的HS服务器映射后,将用户浏览器重定向到该HS服务器。此时,用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过填写所属IDP的认证中心提供的表单,提交用户名/密码等相关信息完成认证。

浏览器辅助配置文件

当用户通过HS完成所属站点的身份认证后,该HS将用户浏览器重定向到远程SP中用户句柄接收地址,同时附上表单,表单中填写用户句柄和其他相关信息(包括存储用户信息的AA所在位置、用户请求资源连接等)。因为这些信息均以表单形式提供,但均不是浏览器提交,而是HS提供的,在该过程中浏览器仅仅是提供传输表单等信息的功能,因此该配置文件称为浏览器辅助配置文件。

AQM(属性查询消息)

AQM是从SHAR发往AA的消息,通过XML实现。

ARM(属性应答消息)

ARM是从AA发往SHAR的消息,通过XML实现,包含如下几个部分。

1.该消息所属协议版本号、对应于请求消息的标识和该应答消息的唯一标识。

2.用户属性查询句柄(AQH)或用户的证书。

3.该用户属性的合法性约束(比如过期时间)。

4.0个或多个用户属性。

协议绑定

SAML 指出,通信的消息可以与多种通信协议绑定。Shibboleth中实现了SOAP的绑定,AQM和ARM均使用SOAP负载。

Shibboleth的更多分析内容请看:Shibboleth:应用场景

 【编辑推荐】

  1. 简化VPN身份认证
  2. 简介SMTPi的身份认证技术
  3. 中国用户对强身份认证最积极
  4. 2009数据中心变化之IT身份认证
  5. 分布式用户认证为单点登录护航 上篇
  6. 确保网上银行安全的多重身份认证方案
  7. 网络购物安全需警惕 身份认证谁说了算
责任编辑:佚名 来源: 中国教育和科研计算机网
Shibboleth认证
相关推荐
Shibboleth:应用场景
Shibboleth涉及4个方面的内容:用户认证机制;用户资料的传递机制;用户真实性的鉴别;用户认证和授权信息的保密机制。这些,都属于信息安全领域的研究范畴。

2011-05-17 15:24:18

Shibboleth认证
5G用户发展亟需回归理性通道
在国家新基建战略引领下,三大运营商已经投入巨资建设5G网络,建成成效更是异常显着。现在到了需要进一步发挥5G网络的价值时候了,运营商应该及时转向并调整经营重点,通过引导用户使用5G推进5G应用创新。

2021-04-06 09:15:54

5G5G网络5G终端
给Windows 7系统特定用户开启绿色通道
熟悉WindowsXP的用户一定还记得它的一个功能,为某一个特定帐户设置“免口令”方式登录。

2009-12-07 16:23:57

Windows 7权限设置
如何确保VDI用户认证安全
本文介绍如何使用加密以及双因素认证确保VDI用户认证的安全性。

2013-11-01 09:15:21

2020年6个JavaScript用户认证
随着网络上出现新的教程(是一个很好的开始),越来越多的团队试图了解实现自己的解决方案与使用库或服务的成本效益等式,希望这可以节省一些时间,并做出更明智的决定。

2020-08-02 23:48:57

JavaScript用户认证库开发
聊聊微服务架构中用户认证方案
今天主要涉及三方面内容,首先咱们回顾了基于Session的有状态用户认证解决方案,其次介绍了JWT与JJWT的使用,最后讲解了利用JWT实现微服务架构认证的两种方案,对产生的新问题也进行了梳理。

2023-03-01 08:57:32

Nginx用户认证配置方法详解
Nginx超级强大它可以单独为一个域名设置用户认证,方法也很简单我们只要生成用户认证的用户名和密码,然后再Nginx添加auth认证配置即可。

2013-08-15 13:41:53

Nginx用户认证
2020年6个JavaScript用户认证
“两周内给我建一个用户认证系统”是现在研发团队中常见的一句话。由于种种原因,这个任务一直是留给团队中的一个开发人员去解决的。

2020-08-12 08:31:57

JavaScript
探索数据中心通道和冷通道控制
探索数据中心的热通道和冷通道控制,这一做法可以通过帮助更好地管理环境因素来降低能源成本。

2021-08-25 22:40:09

数据中心IT通道
WS 2012 Essentials购买通道向普通用户开放
10月上旬的时候微软就曾宣布RTM版本的WindowsServer2012Essentials已经完成。今天微软正式宣布主要针对企业和家庭办公的WindowsServer2012购买通道已经正式向普通的用户开放。

2012-11-02 09:28:57

Windows Ser
苹果关闭 iOS 16.5.1 验证通道,阻止用户从 iOS 16.6 降级
iOS16.6可能是iOS16在今年秋季正式发布iOS17之前的最后一个更新,这也意味着这可能是iPhone8和iPhoneX等不支持iOS17的设备的最后一个软件更新。不过,苹果公司可能会至少再为这些设备提供一年的安全补丁。

2023-08-02 06:53:01

iOS苹果
为集中管理用户提供 FIDO2 认证
Fedora39通过SSSD和FreeIPA为集中管理的用户开启了FIDO2认证功能。此篇文章将指导你如何进行配置和启用该功能。

2023-11-23 10:19:08

Wi-Fi联盟开始认证通道技术以提高无线性能
WiFi联盟启动了一项计划来认证支持TDLS(通道直接链接)的产品,TDLS技术允许设备访问无线网络后在相互之间自动创建一个链接,消除了通过接入点传输数据的需要,并且避免了由网络拥塞而引起的延迟。

2012-08-27 13:27:51

Wi-FiTDLS
解析用户身份认证六大方式
用户身份认证是安全的第一道大门,是各种安全措施可以发挥作用的前提。最常见的身份验证形式就是登录密码,密码丢失轻则被别人轻易看到自己的隐私,重则金钱或者虚拟财产,譬如游戏币、Q币等被盗窃。

2012-09-03 14:21:07

Jenkins系统用户认证配置管理
在配置之前还是要嘱咐一句,由于配置失败或者不当可能会影响后续用户的登录。在此建议大家首先在测试环境进行测试。可以提前将${JENKINSHOME}config.xml备份一下,然后配置失败的时候迅速还原。

2023-04-10 08:11:27

Jenkins数据库
Sping Security-动态认证用户信息
SpringSecurity提供了一个UserDetailsService实现类JdbcUserDetailsManager来帮助我们以JDBD的方式对接数据库和SpringSecurity。

2022-03-22 08:03:22

Spring动态认证数据库
苹果关闭 iOS 15.1 系统验证通道,已升级用户无法降级
12月1日,苹果公司停止了对iOS15.1的验证。这意味着更新到iOS15.1.1或iOS15.2测试版的用户无法再降级到iOS15.1版本,一旦出现问题,只能等后续苹果发布新的iOS版本。

2021-12-02 22:47:37

iOS苹果系统
CISCO Tunnel通道配置说明
本文详细的说明了对于Tunnel通道如何进行设置,并且配有拓扑图,给出了详细的参考解答,同时在后面讲解了配置参数。

2010-08-04 09:48:35

你在为用户认证苦恼吗?答案来了
单点登录(SSO)是摆脱复杂用户认证问题的完美解药!通过SSO,你可以摆脱繁琐的登录过程,轻松在各个应用程序之间切换,就像超级英雄自由穿梭于不同的领域一样。

2023-05-12 07:12:20

转转支付通道监控系统搭建
当三方通道发生异常时我们的感知比较后置,比如大量的系统告警,甚至需要等业务或用户反馈才能感知到异常。作为承接全公司支付业务的核心系统,想要建立一个能给上游提供稳定服务的系统,仅依靠人工维护是远远不够的,因此建立一个完善的支付通道自动化管理系统就提上了日程。

2023-04-26 08:34:46

支付通道监控系统
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服