STS IdP
Higgins安全令牌服务(STS)IdP解决方案是一个可扩充和可适应的解决方案,这个方案实现了OASIS WS-Trust标准并且为在多样方案的部署提供了支持。从依赖方可消费数字身份到要求数据的创建过程。
注:在Higgins项目中,我们有时用“Token Service-令牌服务”,代替通常的“安全令牌服务-STS”叫法
版本
适用于1.0及1.1版本
运行实例
一个部署了的运行实例:https://higgins.eclipse.org/TokenService/index.html
部署者的角度
下载
下载war.zip,解压,部署 这里
部署
Deploy Token Service
暂时没翻译
开发者的角度
架构
要求数据(Claim Data)既可以在客户端编码以“推”方式到Token Service进而转向到Token Provider,Token Issuer也可以用“拉”方式将要求数据从I-Crad Provider中拉出
这个框架包括:
- 核心引擎组件的一个Java实现的和描述组件的插入点的一系列Java接口
- 平台特定绑定(platform specific bindings)的一系列java,例如Axis 1.x
- 安全令牌扩展的一系列java实现,例如SAML1.1
- 一个web应用,可以帮助数字资料的注册和管理
这个框架也需要依赖Higgins Identity Attribute Service (IdAS)身份属性服务和一个或多个Context Providers (CPs)语境提供商。
核心引擎组件可通过API进行配置;典型的调用通过绑定组件
来实现。核心引擎负责安全令牌扩展
和语境提供商的装载和配置,语境提供商在IdAS中注册。当接收到“安全令牌请求-Request Security Token (RST) ”,核心引擎会经由一个IdAs从CP中取回一个数字主题
(digital subjec)。需要注意的是,由于现阶段实现的限制,造成取回数字主题的响应会放置在令牌扩展中。
绑定组件
负责装载和配置核心引擎、接受包含RST的消息(通过SOAP或者其他方式)、对入境消息执行平台特定的处理过程(例如WS-Security, WS-SecurityPolicy, WS-Addressing)、将接收到的消息转换成平台独立的表示(STSRequset)、调用核心引擎去处理请求、将平台独立响应(STSResponse)转换成平台依赖的表示、对出境响应执行平台特定的处理过程,继而将相应返回至请求。需要注意的是,有一些应用可能会直接调用核心引擎,实质上是提供他们自己的绑定组件。
令牌扩展
由句柄类组成,这些可以通过API来进行配置;典型的调用通过核心引擎自己的配置来实现。令牌扩展负责处理接收来的STSRequest消息和生成STSResponse消息。在大多数情况下,核心引擎可以通过扩展自己的配置决定哪一个扩展处理哪一个消息。但是某些情况下,核心引擎可能不能决定哪一个句柄应该处理某个消息,那么句柄可能会被放进序列中来决定哪个应该处理这条消息。
数字主题概要
管理web应用,意在提供一个CP独立途径来管理用户资料。可以创建、修改(添加/删除身份属性)、删除用户资料。此外,Microsoft CardSpace兼容Information Card可能被生成与哪一个数字主题关联(例如用户名/密码,自签名的SAML断言)
以上这些组件作为参照实现的一部分,这些组件中的任何一个都可以被其他实现替换,只要这个实现提供了适当的接口和操作语义。这个参考实现不断发展以能够适应新的需求和部署方案
下附以前的架构图
原文链接
- 大小: 47 KB
- 大小: 28.4 KB
分享到:
相关推荐
SAML到AWS STS密钥转换 Google Chrome扩展程序,可将SAML 2.0声明转换为AWS STS密钥(临时凭证)。 只需使用您的SAML IDP登录到AWS Web Management Console,Chrome扩展程序就会从HTTP请求中获取SAML声明。 然后,将...
您的公司使用SAML 2.0身份提供程序(IDP)登录到AWS Web Management Console(单点登录)。 然后,此Chrome Estension如果适合您! 您想从计算机上执行一些调用AWS API的精美脚本时就遇到麻烦。 向AWS API发送请求时...
Gimme AWS Creds gimme-aws-creds是一个CLI,它通过SAML利用 IdP通过AWS STS获取临时AWS凭证。 Okta是SAML身份提供商(IdP),可以轻松设置为对您的AWS控制台执行SSO。 Okta确实提供了OSS Java CLI工具来获取临时的...
用户首先向STS发起请求,经过身份验证后,STS会返回一个安全令牌,这个令牌包含了用户的身份信息,可被RP用于授权用户访问。 **5. SAML协议** SAML(Security Assertion Markup Language)是用于交换身份验证和...
- STS(Security Token Service):作为认证中心,颁发和验证安全令牌。 - Token:用于传递用户身份信息的安全令牌,如JWT(JSON Web Tokens)。 - SSO Cookie:在用户登录成功后,由IDP设置的Cookie,包含了用户...
- **方法**: 设置 ADFS 作为内部 IdP,并使用 Azure ACS 作为外部 IdP。 - **结果**: 用户可以在企业系统和外部服务之间实现无缝登录。 #### 五、最佳实践与建议 - **保持更新**: 由于技术不断发展,定期更新 WIF...
- **安全令牌服务(Security Token Service, STS)**:作为中介,可以将一个域的令牌转换为另一个域接受的令牌。 **3. WS-Federation协议流程** 典型的WS-Federation流程包括以下步骤: 1. 用户尝试访问服务提供者...
使用SSO(SAML 2.0)登录到AWS Webconsole后,使用AWS STS密钥创建凭证文件 使用SSO(SAML 2.0)登录到AWS Webconsole后,使用AWS STS密钥生成文件。 它利用了“ assumeRoleWithSAML” API。 这是一个浏览器扩展程序...
7. **Security Token Service (STS)**:在SSO系统中,STS是一个关键组件,它负责验证用户凭据并颁发安全令牌。这些令牌包含了用户的身份信息和其他相关的声明,可用于在不同应用间传递和验证用户身份。 8. **...
在ASP.NET Web应用程序中,可以通过修改Web.config配置文件启用WIF,并设置STS(Security Token Service,安全令牌服务)地址。 - 创建身份提供者(Identity Provider, IDP):IDP是验证用户凭证并颁发令牌的...
awscli-login插件允许通过针对SAML身份提供程序(IdP)进行身份验证来检索临时的Amazon凭证。 该应用程序在Linux,macOS和的下得到完全支持。 当前,Windows PowerShell,命令提示符和Windows的Git Shell受支持(但...
AWS STS 是一个临时凭证服务,它允许您在需要时获取短期、有限权限的访问凭证。这对于实现基于角色的安全模型非常有用,例如跨账户访问或者短期任务的临时权限提升。 **SAML2(Security Assertion Markup Language ...
3. **STS(Security Token Service)**:创建或集成一个STS,这是一个服务,负责颁发和验证安全令牌。在.NET中,可以使用WIF提供的WS-Federation或OAuth2实现。 4. **WIF组件**:使用WIF提供的各种组件,如`...
6. **配置集成**:集成SharePoint与JSP应用程序,通常需要在SharePoint中设置安全令牌服务(Secure Token Service, STS)或身份提供者(Identity Provider, IDP),以处理身份验证和授权流程。这可能涉及到OAuth、...