中科院高能物理所马兰馨2013.7.9_第1页
中科院高能物理所马兰馨2013.7.9_第2页
中科院高能物理所马兰馨2013.7.9_第3页
中科院高能物理所马兰馨2013.7.9_第4页
中科院高能物理所马兰馨2013.7.9_第5页
已阅读5页,还剩25页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、中科院高能物理所 马兰馨2013.7.9Shibboleth 在高能所统一认证系统中的应用报告内容背景Shibboleth介绍高能所统一认证方案设计应用接入方案背景高能所校园网应用系统众多邮件系统、会议管理系统、文档管理系统、磁盘、软件、。每个系统有自己的认证机制、用户数据库用户记住每个应用系统的username/password用户管理复杂解决方案单点登录系统SSO(Single Sign On)Shibboleth关于 ShibbolethA Web-based Single Sign On (SSO)美国 Internet2 高级网络联盟/MACE(Moddleware Architec

2、ture Committee for Education)小组的一个项目其目的是开发一个基于标准(主要是SAML和 XML Schema)的体系结构和策略框架及一套开放源代码软件,以用于支持机构间的、需要存取控制的Web资源共享的单点登录系统。安全断言标记语言 SAML(Security Assertion Markup Language )XML即可扩展标记语言(eXtensible Markup Language)Shibboleth 优势用户只需记住一个username/password 用户管理简单、集中 安全地访问第三方服务 跨组织、联盟 保护隐私使服务提供者可以控制能够控制其被访问

3、的资源 整合不同的第三方服务 系统组件IdP (Identify Provider) 主要负责提供各种凭证和属性,对用户身份进行认证和用户属性进行管理。当用户请求访问受限资源时,IdP 会发送验证声明或属性声明给SP。 SP (Service Provider) 主要负责访问资源安全方面的管理,对资源进行保护、用户访问资源进行授权和执行访问控制,通过 IdP 发送来的声明决定用户是否获得资源访问权限。 DS (Discovery Service) 以互动方式为用户提供 IdP 选择的标准接口,具有高度可定制性,可将用户提交的选择直接将用户重定向给对应的 SP。 DS 可由资源控制,也可作为中心

4、共享服务运行。 构成 SSO 主要角色构成基于Web的SSO系统的主要角色 Web Browser: 用户 Resource: 被保护资源 IdP (Identity Provider): 认证用户 SP (Service Provider): 执行认证,转到被保护资源Discovery Service Provider(DS):允许用户选择IdP 工作流程1. 用户访问被保护资源2.用户将请求转发给IdP3.IdP认证用户信息4.IdP发送认证信息给SP5.SP检验IdP的返回信息,决定是否允许用户访问资源6.返回给资源信息,完成整个认证过程系统架构ResourceWAYFIdentity

5、ProviderService ProviderWeb Site1ACS32HS567User DBCredentials4ARHandleHandle8Handle9AAAttributes10ResourceManagerAttributesIHEP 统一认证方案 方案: IdP+ Kerberos+ldap+username/passwordSP + web Application 目前实现了 一个IdP, 多个SP,一个SP保护一个资源 用户信息、访问方式用户信息Kerberos 认证信息(username/password)Ldap 用户属性(姓名、email、telephone、部

6、门、)Application 的本地数据库 授权信息(Role,group, 权限,)访问方式访问单个应用系统统一用户接口通过菜单访问应用系统修改用户个人信息修改口令帮助信息IHEP 统一认证架构图WebBrowserShibboleth IdPApache/TomcatApp1Authentication ShibbolethSP1APP1 ShibbolethSPnAPPnKerboresLDAPShibbolethSPAccount ManagementApacheSSH应用系统接入认证系统的技术方案(1)应用程序必须为基于Web的程序最好与SP安装在同一台机器上,实现对资源的保护允许单

7、点认证系统用户进行登录应用系统可以保留现有的用户账户信息(本地数据库)应用系统针对需要单点认证的用户,需要在应用的登录页面增加一个专供单点认证用户使用的链接,该链接由应用中专门的程序来进行处理。为了允许单点认证系统用户登录,应用程序需要进行一些修改,要写接口程序(PHP, Python, JSP,)应用系统接入认证系统的技术方案(2) 假设应用部署在 主机上,并安装了SP,允许单点认证帐号登入。该应用中:首页地址为:/app具体处理程序为该应用根目录下的 index.php (或index.jsp)。 该程序的功能为:1. 检查该用户是否已经通过了统一认证,具体检查方法为:查找HTTP请求中有

8、没有名为Shib-Identity-Provider的请求头,对于php应用程序,使用 $_SERVERShib-Identity-Provider; 来进行检查2. 如果通过步骤1中的检查,用户已经通过了单点认证,则从HTTP请求头中取得用户名、姓、名、所属机构名、邮件地址、等等信息,并放入Session中,以便于以后和应用程序的其他部分共享这些信息,并把用户重定向到登录成功界面,即应用的主面。3. 与本地数据库进行比对,如何本地数据库允许其用户登入,则把用户重定向到登录成功界面4. 如果没通过步骤1、步骤2、步骤3的检查,则退出应用应用系统接入认证系统的技术方案(3) 认证成功后提供用户的

9、信息有:Username, sn, GivenName,email,认证系统提供给应用系统得到用户信息的接口PHP程序使用以下语句取得用户属性: $_SERVERuid; $_SERVERsn; $_SERVERgivenName; $_SERVERmail; 与应用系统整合举例帮助信息 谢谢!什么是Shibboleth,如何工作 A user authenticates with his or her organizational credentials. The organization (or identity provider) passes the minimal identity

10、information necessary to the service manager to enable an authorization decision Shibboleth leverages the organizations identity and access management system, so that the individuals relationship with the institution determines access rights to services that are hosted both on- and off-campus. 基本组成T

11、here are 3 parts to the Shibboleth system: Identity Provider(IdP) - the software run by an organization with users wishing to access a restricted service; Service Provider(SP) - the software run by the provider managing the restricted service. Discovery Service(DS) - an SP will usually be able to ha

12、ndle users authenticated by multiple IdPs and at that point it has no option but to ask the user to select an IdP, which is usually done by a Discovery Service. IdP & SP are the two primary partsSSO主要角色The main actors in a web-based SSO system are: Web Browser: represents the user within the SSO pro

13、cess Resource: contains access-restricted content that the user wants IdP (Identity Provider): authenticates the user SP (Service Provider): performs the SSO process for the resourceDiscovery Service Provider(DS):allows a user to select which Identity Provider they will use when accessing a Service

14、Provider 体系结构架构图WebBrowserShibboleth IdPApache/TomcatUser DB (Kerberos/LDAP) App1Authentication ShibbolethSP1APP1 ShibbolethSPnAPPnShibbole如何工作IdP与SP通过SAML消息传送用户的身份认证和属性等信息。SAML消息定义了2种重要的语句:(1)身份验证语句,关于该主题在何时何地、使用何种身份进行过验证的报告。 。(2)属性语句,包含了与主题有关的属性。属性语句中典型的属性是组和角色。SAML定义了一组XML格式的请求和应答消息,SP可使用这些消息直接获取

15、断言。 基本组成There are 3 parts to the Shibboleth system: Identity Provider(IdP) 主要负责维护用户的信任和属性,并在请求时,做出认证语句或属性语句的断言。Service Provider(SP) 主要负责管理被保护的资源,即按照的断言,决定用户对资源的存取。一般包括断言处理服务、属性请求者和目标资源。Discovery Service(DS) - an SP will usually be able to handle users authenticated by multiple IdPs and at that point

16、 it has no option but to ask the user to select an IdP, which is usually done by a Discovery Service. IdP & SP are the two primary parts工作流程1. User Accesses Protected Resource2. SP Determines IdP and Issues Authentication Request3. User Authenticates to the IdP4. IdP Issues Response to SP5. Back to the SP6. Back to the Protected Resource管理、资源、使用帐号统一管理提供2种登入方式登入单个应用登入统一界面SP与Application的整合网络组周报系统、系统组月报为什么选择 Shibboleth用户只需记住一个username/password 用户管理简单、集中 安全地访问第三方服务 跨组织、联盟 使机构选择自己的身份验

人人文库> 全部分类> 应用文书 > 研究报告

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论