SAML-Web-SSO

SAML (Security Assertion Markup Language) ist ein offener OASIS-Standard für die Darstellung und den Austausch von Benutzeridentitäten, Autentifizierung und Attributinformationen. SAML entwickelt sich rasch zur führenden Technologie in der Bereitstellung herstellerübergreifender SSO-Interoperabilität (Single Sign-on).

Die SAML-Zusicherung ist ein XML-formatiertes Token, mit dem die Benutzeridentität und die Attributinformationen vom Identitätsprovider eines Benutzers als Teil der Ausführung einer SSO-Anforderung an einen anerkannten Service-Provider übertragen werden. Eine SAML-Zusicherung bietet eine herstellerunabhängige Möglichkeit zur Übertragung von Informationen zwischen zusammengeschlossenen Geschäftspartnern in einem Verband.

WebSphere Application Server unterstützt SAML-Web-SSO und fungiert als SAML-Service-Provider. Ein Webbenutzer authentifiziert sich bei einem SAML-Identitätsprovider, der eine SAML-Zusicherung produziert. Ein WebSphere-SAML-Service-Provider konsumiert die SAML-Zusicherung, um einen Sicherheitskontext für den Webbenutzer zu erstellen.

Als Protokoll hat SAML folgende drei Versionen: SAML 1.0, SAML 1.1 und SAML 2.0. SAML 2.0 ist eine Erweiterung der vorherigen SAML-1.x-Spezifikationen, ist jedoch nicht abwärtskompatibel.

SAML 2.0 definiert mehrere Anforderung-Antwort-Protokolle, die der in der Nachricht kommunizierten Aktion entsprechen. Diese Protokolle basieren auf der HTTP-Umleitung und beziehen den Browser des Benutzers ein. In SAML 2.0 sind mehrere Bindungsoptionen definiert: HTTP redirect, HTTP POST, HTTP artifact und SOAP. Diese Optionen geben die Art und Weise des Nachrichtentransports an. Mit SAML 2.0 HTTP POST können SAML-Protokollnachrichten in einem HTML-Formular unter Verwendung von Base64-codiertem Inhalt gesendet werden. SAML 2.0 HTTP POST ermöglicht die Kommunikation von SAML-Provider und -Konsument über einen HTTP-Benutzeragenten als Vermittler. HTTP POST wird manchmal Browser POST genannt, besonders bei Verwendung in SSO-Operationen. Das SAML 2.0 Web Browser SSO Profile ist für die Unterstützung von Web-SSO (Single Sign-on) definiert. Ein Webbenutzer kann entweder über den Service-Provider auf eine Ressource zugreifen, oder er kann auf einen Identitätsprovider zugreifen, sodass der Service-Provider und die gewünschte Ressource impliziert werden. Der Webbenutzer authentifiziert sich beim Identitätsprovider, der anschließend eine Authentifizierungszusicherung erzeugt. Der Service-Provider konsumiert die Zusicherung, um einen Sicherheitskontext für den Webbenutzer zu erstellen.

Das folgende Bild zeigt eine Übersicht über SAML SSO:

SAML-SSO-Übersicht

Weitere Informationen finden Sie in den Spezifikationen und Standards.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_samlssoconcepts
Dateiname:cwbs_samlssoconcepts.html