SAML是由愛爾蘭網路安全公司巴爾的摩技術Baltimore Technologies、行業權威認證機構Entrust、電子商務安全管理軟體公司Netegrity、美國軟體開發商Oblix、美國電子商務安全軟體開發商OpenNetwork、美國日立旗下的Quadrasis、美國網路安全公司RSA Security、全球最大域名註冊機構Verisign、美國套用基礎結構軟體公司BEA Systems、美國電子商務軟體公司Computer Associates、日立、惠普、IBM以及Sun等公司共同合作開發的。如何提高跨越企業邊界的安全信息互操作性,使得交易企業可從其他企業獲取有關用戶和交易等授權參考數據,是目前國際工業界和學術界所致力解決的關鍵問題之一。
基本介紹
- 中文名:安全聲明標記語言
- 縮寫:SAML
- 機構:愛爾蘭網路安全公司
- 提高:跨越企業邊界的安全信息互操作性
概述,產生背景,標準,影響,
概述
安全聲明標記語言(SAML)是現在最好的解決方法,並且支持一致性管理的概念,對保護Web服務起重要的作用。因此,有眼光的賣主和工具包都支持安全聲明標記語言(SAML)。
產生背景
由於不同的門戶站點、用戶社區和商業服務採用不同的登錄機制,用戶被迫保持多個身份,從而導致孤立的業務關係和用戶體驗。消除這種訪問孤立的關鍵是建立一種聯合的身份。
建立聯合身份、實現聯合商務需要實施一種標準化的、多廠商的、基於Web架構的通用技術,如LibertyAllianceProject的自由架構。一次登錄(Singlesign-on,SSO)就是一個Web服務用來向另一個Web服務傳達有關用戶認證信息的技術。安全聲明標記語言(SecurityAssertionMarkupLanguage,SAML)則為一次登錄的實現提供了技術框架。
利用SAML,用戶可以登錄到一家網站,如果該用戶得到授權的話,這位用戶的認證信息就會被轉發給各合作公司的站點,這就使得該用戶能夠很容易地得到各種服務。以預約服務為例,如果一位用戶成功登錄到一家航空公司的門戶站點後,這位用戶不必費力就可以迅速完成其他公司站點的登錄過程,進行租車和預定客房服務。
SAML使交換用戶、設備以及任何可識別的實體(即SAML標準術語中所謂的“對象”)的認證和授權成為可能。SAML是利用XML的子集來定義系統用來接受或拒絕對象“聲明”的請求回答協定。
標準
SAML定義了認證、授權和屬性三種聲明。認證表明一個對象以前曾得到某種手段(如口令、硬體令牌或X.509公共密鑰)的認證;授權表明應當準予或拒絕一個對象使用資源;屬性表明對象與屬性相關聯。
SAML沒有規定聲明的信任程度,聲明的信任程度是由本地系統決定,這會導致由於聲明不準確而造成損失。避免這一點需要基於Web的企業之間建立信任關係和達成運營協定,在這類關係或協定中,企業同意在接受一次聲明前進行一種驗證。
SAML可以與多種通信和傳輸協定捆綁在一起。它可以與HTTP上的簡單對象訪問協定相連結。SAML無需cookie就在下列兩種配置檔案中的一個檔案中運行:瀏覽器/artifact和瀏覽器/post。在使用瀏覽器/artifact時,一個SAMLartifact作為一個URL查詢串的組成部分傳輸。SAMLartifact是指向一個聲明的指針。在使用瀏覽器/post時,SAML聲明在一個HTML表格內被上載給瀏覽器,並作為一次HTTPpost的有效載荷的組成部分傳送給目的站點。
影響
SAML的影響將是多方面的。它使得一個口令就可以訪問多個入口網站成為現實,使得訪問Web服務變得不再那么耗費時間和令人厭煩。同時利用SAML,各企業將能夠建立起新型的業務合作夥伴關係,創建多樣化、易於控制和便利的Web服務。