Shibboleth：用户认证的通道

Shibboleth的目的是对用户进行统一的认证。通过用户所属的源站点对用户进行认证和授权，从而使得联盟中各个站点能够对用户进行认证和授权。 

Shibboleth组件与协议

Shibboleth中包含7个部分组件，其中5个为Shibboleth实现，2个需要用户实现。

SP端(target)

SP(Service provider)端是资源/服务提供端，主要作用是过滤用户的资源请求，并向该用户所在的IdP查询用户的属性，然后根据属性作出允许或拒绝访问资源的决策。

SHIRE

资源的保护者。过滤HTTP请求，当遇到指定的HTTP请求时，向SHAR发送用户属性查询句柄(AQH)。经过一些列处理后SHAR会返回用户属性。通过用户属性中规定的用户权限，决定用户对资源的权限。同时，SHIRE还要完成对用户属性句柄的请求操作。

SHAR

用户属性的缓存。通过发送AQM与IdP中的AA联系，取得用户属性，然后通过cookie形式缓存下来，当SHIRE查询用户属性时，通过检查cookie以及与AA联系等操作，返回用户属性。因此，何时向AA发送AQM，当AA返回ARM时SHAR该如何处理，何时向SHIRE报告用户属性，这需要一套机制，也是APP(attribute acceptance policy)存在的原因。

WAYF

WAYF是系统中的一个组件，用以完成IdP站点名与HS之间的映射。同时，WAYF会向HS发送“浏览器发送配置文件”，从而引发HS一系列的反应，最后使得HS向SHIRE的某个特定的URL返回“浏览器辅助诊断文件”。

IdP端(origin)

IdP是身份提供端，主要作用是向SP提供用户属性，以便使SP根据用户属性对用户操作授权。

HS

用户身份的鉴别机构。HS的主要作用是等待SHIRE发送的“浏览器发送配置文件”，当接受到该文件时，通知AA与CA进行相应的处理，然后返回“浏览器辅助配置文件”给SHIRE。

AA

用户属性的生成机构，决定是否生成用户属性。通过判断用户的session，来判断使用已经存在的用户属性，还是生成新的用户属性，同时保持用户的session。因此，AA中定义了ARP(用户属性颁布策略)，用以决定是否生成用户属性，何时发送用户属性。同时AA要完成与SHAR的通信，通过AQM与ARM完成AA发布用户属性的操作。

CA

认证中心。主要作用是完成对用户的认证，存储用户的权限，当需要对用户进行认证与权限请求时，验证用户的USER/PASS或者验证用户的证书，完成对用户的鉴别。

用于通信的消息

Shibboleth作为SAML的一种实现，需要完成用户/浏览器、源端和目的端之间的通信。SAML中规定的配置文件和查询/响应协议，Shibboleth都进行了完整的实现。查询/响应协议规定了AA与SHAR之间的协作和通信；配置文件规定了SHIRE、WAYF和HS之间的协作与通信。

浏览器发送配置文件

Shibboleth中包含了两种浏览器发送配置文件：SHIRE发送给WAYF的和WAYF发送给HS的。

1. 用户发往WAYF的浏览器发送配置文件：当SHIRE遇到不能识别的用户时，它将用户重定向到WAYF服务器，同时发出用户句柄请求。此时，用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过WAYF服务器中的认证表单，选定所属的IDP，并将该表单提交给WAYF。

2. WAYF发给HS的浏览器发送配置文件：当WAYF将用户所属IDP与该IDP的HS服务器映射后，将用户浏览器重定向到该HS服务器。此时，用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过填写所属IDP的认证中心提供的表单，提交用户名/密码等相关信息完成认证。

浏览器辅助配置文件

当用户通过HS完成所属站点的身份认证后，该HS将用户浏览器重定向到远程SP中用户句柄接收地址，同时附上表单，表单中填写用户句柄和其他相关信息(包括存储用户信息的AA所在位置、用户请求资源连接等)。因为这些信息均以表单形式提供，但均不是浏览器提交，而是HS提供的，在该过程中浏览器仅仅是提供传输表单等信息的功能，因此该配置文件称为浏览器辅助配置文件。

AQM(属性查询消息)

AQM是从SHAR发往AA的消息，通过XML实现。

ARM(属性应答消息)

ARM是从AA发往SHAR的消息，通过XML实现，包含如下几个部分。

1.该消息所属协议版本号、对应于请求消息的标识和该应答消息的唯一标识。

2.用户属性查询句柄(AQH)或用户的证书。

3.该用户属性的合法性约束(比如过期时间)。

4.0个或多个用户属性。

协议绑定

SAML 指出，通信的消息可以与多种通信协议绑定。Shibboleth中实现了SOAP的绑定，AQM和ARM均使用SOAP负载。

Shibboleth的更多分析内容请看：Shibboleth：应用场景

 【编辑推荐】

1. 简化科学身份认证
2. 简介SMTPi的身份认证技术
3. 中国用户对强身份认证最积极
4. 2009数据中心变化之IT身份认证
5. 分布式用户认证为单点登录护航 上篇
6. 确保网上银行安全的多重身份认证方案
7. 网络购物安全需警惕 身份认证谁说了算