【ACCESS精品源码栏目提醒】:网学会员为广大网友收集整理了,基于OpenSSO的校际资源联合身份认证 - 会议论文,希望对大家有所帮助!
第4l卷增刊1 中南大学学报(自然科学版) V01.41 Suppl.12010年lO月 Journal of Central South University(Science and Technology) oct.2010 基于OpenSSO的校际资源联合身份认证 贾春燕,赵亚萍,程艳旗,郭晔 (浙江大学信息中心,浙江杭州,310027) 摘要:综合分析国内外联合身份认证建设情况及选用产品,结合浙江大学实际需求和信息化建设情况,选用遵 循SAML(Security assertion markup language)等标准的开源产品OpenSSO建设浙江大学的校际资源联合身份认证 平台,为学校实现校际资源共享提高资源利用率提供技术支持。
基于OpenSSO的联合身份认证与基于Shibboleth 的相比,不需要其他高校再单独建立本校的统一身份认证系统,安装部署Shibboleth或其他中间件,大大减少了 项目实施所需前提条件。
关键词:校际资源共享;联合身份;SAML:Shibboleth;OpenSSO 中图分类号:TP302.1 文献标志码:A 文章编号:1672-7207(2010)sl-0120-06 Identity—federated authentication for interscholastic resource based on OpenSSO JIA Chtm—yah,ZHAO Ya-ping,CHENG Yan-qi,GUO Ye (Information Center,Zhejiang University,Hangzhou 3 10027,China) Abstract:The contents aad ways of constructing identity-federated authentication project at home and abroad weTc summsrized,two products wcre compared,the information construction and concrete demand of Zhejiang University wore also introduced,finaHy OpenSSO which conforms to SAML was chosen to construct identity-federated authentication project ofZhejiang University.It provides technical support to share resources and raise the utilization rate of l’eSOtlfCes for University.Compared with the Shibboleth,OPOnSSO is more advanced.Constructing uniform identity authentication system is unnecessary for university,which does not construct uniform identity authentication system.The preconditions for projet c43nstruction are cut back drastically. Key words:interscholastic n渤urce sharing;identity—federated;SAML;shibboleth;OpenSSO 在高等教育资源相对紧缺的条件下,打破隔阂, 协议书》。
从世界高等教育发展来看,大学之间联盟,在全校范围内乃至跨校重组优化、构建“共享性”资源, 通过资源共享,可以更好地利用优质高等教育资源,以促进高校资源的交叉、融合,提高大学的原始创新 促进校际之间交流【2】。
目前,各高校已投资建设了大能力,赶超“世界一流”是教育专家们的共识,也是社 量数字图书、论文及
精品课程数据库等网络信息资源。
会对高校资源建设模式转变的期望【¨。
在2009年lO 如何运用身份认证技术在保护应用资源安全的前提下月9日举行的一流大学建设系列研讨会上,北京大学、 扩大资源的使用范围,实现跨校的资源访问、提高资清华大学、浙江大学等9所首批‘’985工程”建设高校 源利用率,是摆在我们面前的一个重大课题。
经过充分研讨,友好协商,一致同意按照“优势互补, 目前,有很多身份认证的解决方案,可归结为集资源共享”原则,签订‘一流大学人才培养合作与交流 中式和联合式2种:通常的统一身份认证系统是集中 收稿日期:2010-06-10:修回日期:2010-08-04 通信作者:赵亚萍(1975-)。
女.浙江诸暨人.工程师,主要从事高校信息化项目研究;电话:0571-88273681;E-ln面.*zypiag@zju.tⅫlu.ca增刊l 贾春燕,等t基于OpcnSSO的校际资源联合身份认证 121式身份认证,集中存储所有用户的身份信息,采用同 和资源,实现了全校公共基础平台集约化管理与服务,一个用户库为多项网络应用提供认证服务,这种方式 随着学校教学科研过程信息化工作与社会服务工作的不仅解决了多个应用系统身份统一管理的问题,而且 不断推进,学校的信息资源如数字图书、电子数据库降低了用户管理成本,用户只需要进行一次登录和身 及
精品课程等日益丰富,怎样在保护资源安全的前提份认证就可以访问所有相互信任的应用系统,但由于 下扩大资源的应用范围,建立跨机构的信息安全基础用户数据的集中存储管理,存在数据同步及数据安全 设施,不仅为校内全日制学生服务,而且为远程教育隐患等问题;联合身份认证【3l,用户身份信息分布在 等非全日制学生以及其他高校用户服务,成为浙江大不同网络应用处,由各网络应用f身份提供者Identity 学亟待解决的一个问题。
在浙江大学已有的统一身份provider,简称IDP)分别管理自己的用户身份信息, 认证基础上,探索并建立浙江大学联合身份认证平台提供属性信息给服务提供者(Service provider,简称 具有重大意义。
sp),进行联合认证服务,避免了集中存储庞大的用户 1.2产品选型群体信息带来的数据同步,数据生命周期管理等问题。
SAML是目前联合身份认证方式中最成熟的标学生是高校资源最大的用户群体,其显著特点是数量 准,是由结构化信息标准推进组织(OASIS)建立的一大、变化快、用户群体交叉小。
如果将各高校所有的 套安全标准规范。
SAML提供了一种基于XML的安学生群体进行集中管理,势必会带来数据同步,管理 全信息共享机制,使不同安全网络应用之间可以互相维护等各种问题,同时,各高校是否愿意提供本校用 交换认证和授权信息【8】。
它本身并不定义新的认证和户群体的身份信息数据也是一个问题,所以要实现高 授权机制,只定义用于网络应用之间传输安全信息的校之间的网络应用资源整合,共享共建资源,提高高 交换机制。
目前已经有3个版本,分别是2002年11校教学科研活动的开放性和协作性,在建设信息安全 月份的1.0版本、2003年9月份的1.1版本和2005年基础设施时最好选用联合式身份认证【引。
3月份的2.0版本【91。
目前,基于SAML的联合身份 国外在跨机构联合身份认证和授权方面的研究起 认证产品主要有Shibboleth和OpenSSO等。
步于2002年左右,影响较大的项目有Intemet2的 Shibboleth提供跨越组织边界的web单点登录,Shibboleth项引4】和Liberty联盟计划【卯,二者都遵循 目前是国内外实现联合身份认证使用较多的中间件产SAML(Security assertion markup language)标准。
美国 品。
Shibboleth实现联合身份要求高校必须建立统一的InCommon,微软和苹果公司已利用Internet2的 身份认证系统,也就是说,想接入到联合身份认证系Shibboleth项目网络向广大的高校用户群体提供免费 统的高校必须安装部署Shibboleth或其他可以互通的开发软件或服务。
中间件。
国内高校的信息化建设情况参差不齐,相当 国内也于近2年启动了跨机构身份认证和授权相 一部分高校尚未建立统一身份认证系统,如果在实施关的试验研列们,目前尚处于起步阶段。
2005年下半 联合身份认证时,一定要求学校实现统一身份认证系年,北京大学采用Shibboleth,先后与北京邮电大学、 统,安装部署Shibboleth或其他中间件是不现实的。
成都电子科技大学、华南理工大学、山东大学及重庆 具有局限性,影响校际资源联合身份的推广【Io】:大学进行了大学之间的身份互相认证和互相授权试 OpenSSO项目是Sun公司在Sun Java System验,并且已经完成与部分大学内部统一身份认证和授 Access Manager和Sun Java System Federation Manager权系统的衔接,实际部署跨校网络应用正在开发中【7】。
的源代码基础上的开源项目。
OpenSSO是基于开放标 准的产品,尽可能地使用所能使用的开放标准,其身1 浙江大学联合身份认证建设需求 份联合和Web服务基于SAML(SAMLI.x和SAML2.01 及产品选型 和Liberty联盟项目规范。
该项目从2006年7月启动, 到2007年为止,已经有400多个项目成员【lI】。
选用1.1建设需求 OpenSSO不需要高校再单独建立本校的统一身份认 自2005年以来,浙江大学在信息化建设领导小组 证系统,且OpenSSO和Shibboleth可以互通,OpenSSO统一领导下,不断加大信息化建设力度,全校信息化 的SP可以方便地加入到Shibboleth的网络中f12】。
建设成效显著。
通过数据中心、机构知识库、个人主 鉴于目前浙江省内高校普遍未建立资源共享型统页、
精品课程、数字图书馆的建设沉淀了大量的数据 一身份认证系统的情况,OpenSSO成为浙江大学建立122 中南大学学报(自然科学版) 第4l卷联合身份认证平台的不二选择。
现浙江大学统一身份认证系统与其他高校之间的联合 互信。
联合互信是指信任圈内的各个系统之间可以通2基于OpenSSO实现校际资源联合 过~种安全有效的方式传递用户的身份信息,只要能 身份访问控制 成功获取用户的认证通过信息,就信任该用户。
本方 案中,通过SAML2.0方式传递用户身份信息。
2.1总体思路 S舢川L2.0是一个开放的标准,因此,无需考虑其他高 选用开源产品OpcnSSO。
基于Liberty联盟标准 校是否建有统一身份认证,是否采用OpcnSSO,均可和SAML2.0构建联合身份认证的基础服务框架,结合 以基于SAML2.0接入到联合身份认证系统中。
SAML浙江省数字图书馆项目及C9计划选取合适机构建立 主要包括3个方面的申明唑(1)认证申明。
表明用户浙江大学信任圈,向其他高校或机构提供统一服务, 是否已经认证,通常用于单点登录。
(2)属性申明。
并建立业务规范、合约及统一接入标准。
通过这种方 表明某个Subject的属性。
(3)授权申明。
表明某个资式可以方便地将浙江大学的服务,如图书馆资源服务, 源的权限。
提供给信任圈内的众多用户,也可使其他高校的服务 在本方案中,通过SAML传递的是认证申明和属以标准的形式接入并提供给浙大信任圈的众多用户。
性申明。
浙江大学身份联盟图如图l所示。
2.2实现方案 图l中,浙江大学联合身份认证平台与浙江省高 联合身份认证的单点登录有2种情况:由服务提校数字图书馆及校内拥有庞大用户群体服务系统(继 供者(SP)发起的单点登录和由身份(实体)提供者(IDP)续教育管理系统、校友管理系统)等互为服务对象,组 发起的单点登录。
下面分别针对这两种情况介绍对应成身份联盟。
身份联盟中的每个成员既可以作为身份 的实现方案。
提供者(IDP),也可以作为服务提供者(SP),在不同的 2.2.1服务提供者(sP)发起单点登录实现方案访问过程中分别扮演不同的角色。
身份提供者提供用 服务提供者(SP)发起单点登录实现方案详细流程户的身份及属性信息;服务提供者提供资源和访问相 如图2所示。
应资源的控制策略。
身份提供者与服务提供者之间通 (1)用户访问位于服务提供者(SP)sp.example.corn过SAML2.0协议传递数据,实现联合互信资源共享。
上的一个受保护的资源,服务提供者发现用户没有登校内资源共享满足在局域网环境下实现本校内的资源 录后,将用户请求资源的URL保存于本地的状态信共享。
将校内资源进行集中管理,管理员根据不同资 息,发送http redirect的响应给浏览器,并对httpheader源进行分类、赋予权限;同时,资源管理员对使用者 中的Location属性进行设置。
Location包括身份提供进行分类、赋予权限,将使用者与资源进行对应,实 者(IDP)的单点登录服务的目的地址以及一个名字为现对用户和资源的管理,保证资源的安全使用。
校内 SAMLRequest的请求参数,参数内容使用DEFLATE资源共享可以与校际资源共享形成互动,本校的资源 编码。
浏览器处理这个跳转响应,然后以http get的方管理员可以自由定义哪些资源可以与其他学校共享, 式请求IDP的单点登录服务,请求中带有学生和教师不仅可以检索到本校的资源,还可以检索 ·SAMLRequest与RelayState(本地状态信息)2个参数。
到所有学校共享的资源,大大扩大了资源量,避免了 (2)IDP判断用户是否有本地的登录信息满足默资源的重复建设。
校际资源共享首先是对接入的学校 认的或是请求的认证需要,如果没有IDP,则要求用进行认证和管理,在资源的共享和交换上起到核心交 户进行认证。
换机的作用,所有的学校都通过它来实现跨校际间的 (3)用户提交自己的认证信息,IDP为用户生成安资源查询、检索和下载【13】。
全的会话上下文. 浙江大学联合身份认证建设内容主要包括:(1) (4)IDP为用户生成代表用户登录成功的SAML联合身份认证基础平台建设。
浙江大学已建的统一身 断言,同时对断言进行数字签名,并将断言信息放入份认证系统采用Sun公司的Sun Java System Access 表单的一个名为SAMLResponse隐藏选项中。
如果Manager(AM),建设联合身份认证基础平台只需将 IDP接收到名字为RelayStatc的参数,IDP不修改将AM升级为OpenSSO即可。
(2)联合身份认证信息传 这个参数的值放入表单中名为RelayStat℃的隐藏选项递机制建设。
浙江大学联合身份认证基础平台主要实 中,然后IDP将这个表单以http rt嚣’porL.ge的方式传送增刊1 贾春燕t等t基于Op∞SSO的校际资源联合身份认证 IDP SP—j Io IDP SP 浙江省高校{缱恩书馆卜_j塑生!坐兰旦一浙江省高校数字图书馆 (AZOL)省中心 I r一(A…ZDL…)爿、1-辅…8 ~——<≤皿o sAML苌>7——一 ML2.0 浙江大学联合身份认证 浙江大学校友管理系统r,,, SAML2.O ,一,7SAML2. ————‘J。
D。
’r’‘。
‘。
。
‘:S。
P。
。
。
———一 S I浙江大学继续教育管理系统l ’、--’--.-_-_-----———l-_.__/ 图1浙江大学身份联盟图 Fig.1 Identity union ofZhejiang University 图2 SP发起的联合身份认证实现流程 Fig.2 Design flow of identity-federated authentication from SP给浏览器。
为方便用户使用,这个表单通常会通过JS 2.2.2实体(身份煨供者(IDP)发起单点登录建设方案自动提交到目的地址。
实体(身份)提供者(IDP)发起单点登录建设方案详 (5)浏览器接收到该表单后自动提交给SP的断言 细流程如图3所示。
消费服务。
SP的断言消费服务收到这个表单、获得 (1)IDP提供者要求用户登录。
SAMLResponse参数值后,首先验证这个参数值里面 (2)用户提交认证信息进行认证,IDP为用户生成的数字签名,验证通过后服务提供者为用户生成一个 本地登录的安全上下文。
本地登录安全上下.
上一篇:
电视新闻文稿系统的
下一篇:
扛起年轻化大旗,哈弗F系玩转行业新风潮