返回
基于Shibboleth的联邦身份管理研究

基于Shibboleth的联邦身份管理研究

ID:23679656

大小:371.50 KB

页数:6页

时间:2018-11-09

基于Shibboleth的联邦身份管理研究_第1页
基于Shibboleth的联邦身份管理研究_第2页
基于Shibboleth的联邦身份管理研究_第3页
基于Shibboleth的联邦身份管理研究_第4页
基于Shibboleth的联邦身份管理研究_第5页
资源描述:

《基于Shibboleth的联邦身份管理研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于Shibboleth的联邦身份管理研究作者简介:李崴(1973-),男,湖北武汉人,副研究馆员,研究方向为数字图书馆技术、网络与信息安全;李崴,(中国科学院国家科学图书馆武汉分馆,武汉430071)摘要:本文介绍了基于Shibboleth的联邦身份管理模型及其运行机制。该模型具有平台无关性,松耦合性和信息安全性,能够对合作机构的相关服务进行有效整合,并能够保障用户隐私,从而满足服务提供者和用户的需求。关键词:shibbolethSAML联邦身份管理单点登陆ResearchonFederatedIdentityManagementBasedonShibbolethLiWei(The

2、WuhanBranchoftheNationalScienceLibrary,CAS,Wuhan430071,China)Abstract:Inthispaper,anFederatedIdentityManagementmodelbasedonShibbolethisproposed.Thismodelisplatformindependent,coupledloosely,security.Thismodelcansupportrelatedservicestocarryouteffectivecooperationandprotectuser’sprivacy,meetingt

3、herequirementsofusersandserviceproviders.Keywords:shibbolethSAML;federatedidentitymanagement;singlesign-on0引言随着数字图书馆面向用户的知识服务不断深化,越来越多的应用系统(如Web服务、门户和集成化应用等)彼此链接。这些系统各自使用独立的认证授权体系,分别维护着不同的安全策略和用户信息库。独立的认证机制导致了业务关系的相对孤立,同时,用户被迫在不同的应用下使用不同身份和口令多次登录,从而导致了孤立的用户体验。对于服务提供方和用户来说,迫切需要一种便捷、安全的身份认证机制来简化登

4、录多个系统的繁琐过程。消除这种访问孤立和业务孤立的关键是建立一种标准化的、跨管理域的联邦身份认证与授权机制。基于Shibboleth的联邦身份认证是目前比较流行的图书馆多系统业务整合的解决方案之一。该模式通过联合认证和授权的机制克服了传统认证方式的不足,允许机构自己拥有并能控制主体身份数据,并能够以结构化的、受控的方式与协作机构共享这些数据。本文提出基于Shibboleth的联邦身份认证机制,能同时满足图书馆多项业务联合服务和用户单点登录的需求,并能有效保障认证强度,保护用户隐私。1联邦身份认证随着越来越多的图书馆网络应用开始考虑如何在保护应用资源的前提下扩大应用的使用范围,身份认证

5、技术由此被广泛采纳。早期应用系统单独维护用户库进行身份认证。这种方式在图书馆网络应用建设初期较常见。随着应用的不断整合,出现了单一身份认证技术。它采用同一个用户库为多项网络应用提供认证服务,解决了多个应用系统身份统一管理的问题,降低了用户管理成本。但认证仅限于同一用户库,无法解决跨机构的网络应用。联邦身份管理(FederatedIdentityManagement,FIM)提供了一个简单的、松耦合的模型,用于跨管理域的身份认证和授权管理。在这种模式中,各应用系统自行负责本系统用户身份的认证,同时基于开放标准来鉴别其他系统的信任关系,从而建立起可安全交换身份信息的联邦关系。只要用户被联

6、邦内的(也就是可信任的)某应用所认证,该用户就获得联邦内其他机构的信任(不必再次登陆)。这种机制可以大大地简化机构内和机构间的用户身份管理工作,使认证和授权数据跨越组织界限。以中国科学院国家科学图书馆(简称国科图)为例,建有随易通、学位论文、机构仓储等多个应用;与国科图相关的有高校图书馆系统、中科院ARP系统、商业数据库等系统。这些系统彼此应用上是独立的,跨地区和跨机构的,且需要自己维护用户信息库,难以形成联合服务,也很难通过集中认证模式来解决单点登陆问题。上述这些应用系统可形成一个身份联邦,基于对相互联邦身份的信任,可以共享用户身份信息和策略数据,从而将各应用系统耦合在一起,形成联

7、合的服务应用。如某所用户同时具备中科院“学位论文”、“机构仓储”和Elsevier数据库的访问权限,在传统模式下他必须分别以不同身份和口令登陆上述3个网站来获取资料,而在联邦模式下,用户登录其中一个系统后,无需再次登陆即可访问其他两个网站。联邦身份管理把身份认证看作是各类网络应用的基础设施,以中间件的形式为网络应用提供统一的身份认证支持,应用系统开发者和提供者不需要再考虑身份认证和用户管理这个问题,把身份认证工作完全交给身份认证中间件去完成。它以技术手段把

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。