通过

联合标识管理互操作性

  • 项目

 

Microsoft Corporation

2004 年 5 月

总结: 当企业将内部系统扩展到外部用户时,必须确保系统能够与其他组织的应用程序互操作。 领先的标识管理解决方案提供商在最近的互操作性研讨会中演示了满足这一需求的解决方案。 (7 个打印页)

注意 本文档介绍该研讨会的结果,其中测试了基于 Web 服务安全标准集的WS-Federation被动请求者配置文件的互操作性方案的实现。

目录

联合标识管理
Web 服务协议研讨会
WS-Federation被动请求者配置文件互操作性
研讨会结果和讨论
相关链接

联合标识管理

为了应对当前行业趋势的挑战,例如企业对企业商业的增长、移动性提高和持续连接的需求,组织正在将内部系统扩展到外部用户,为客户提供连接、合作伙伴、供应商和移动员工。 提供高效且无缝的连接需要构建“基于信任的”关系,使组织能够安全地共享用户的标识信息。 信任关系允许标识和策略信息独立于平台、应用程序或安全模型在组织之间流动。 需要快速有效地建立信任关系,以最大程度地提高工作效率,并消除当今经常发生的手动流程。 联合描述了这种互连所需的技术和业务安排。

联合系统需要跨组织边界进行互操作,并使用不同的技术、标识存储、安全方法和编程模型连接进程。 在联合系统中,标识及其关联凭据仍单独存储、拥有和管理。 联盟的每个成员继续管理自己的标识,但能够安全地共享和接受来自其他成员源的标识和凭据。

在联合系统中,组织不仅需要一种标准化且安全的方式来表达它向受信任的合作伙伴和客户提供的服务,还需要它经营其业务所依据的策略,例如它信任的其他组织和用户、接受的凭据和请求类型以及其隐私策略。

为响应这一需求,Microsoft 正在与行业领导者合作,为通常称为 Web 服务的分布式应用程序体系结构制定一组规范。 Web 服务体系结构基于 SOAP、XML、WSDL 和 UDDI 等行业标准,为扩展企业提供完整的可互操作业务解决方案(包括管理联合标识和安全性的功能)提供了基础。 Web 服务模型基于这样一种理念,即企业系统以不同的语言编写,具有不同的编程模型,这些模型在多种不同类型的设备上运行,并且可从许多不同类型的设备进行访问。 Web 服务是一种独立于平台和语言的方式,用于构建分布式系统,这些系统可以通过 Internet 轻松高效地相互连接和交互。 有关 Web 服务和 Web 服务规范的详细信息,请参阅 MSDN Web Services 开发人员中心

互操作性

Web 服务体系结构及其启用的应用程序的成功取决于这些应用程序能否跨受信任的业务、合作伙伴和服务网络进行互操作,而不管它们与之交互的平台、编程语言或应用程序如何。 为此,实现 Web 服务的企业企业希望其应用程序符合 Web 服务标准,以确保互操作性。 Web 服务标准(包括 SOAP、XML、WSDL 和 UDDI)成功使开发人员能够创建跨多个平台、编程语言和应用程序可互操作的 Web 服务解决方案。 确认存在这种互操作性以及 Web 服务规范实现这些业务目标的main方法之一是通过协议互操作研讨会。

Web 服务协议研讨会

Web 服务协议研讨会是一种让 Web 服务社区 (包括最终用户公司、ISV 和其他供应商在验证和完善 WS-* 规范的过程中) 的一种方式。 有两种类型的研讨会:反馈和互操作性。 反馈研讨会 允许每个 Web 服务协议的作者共享有关设计的背景信息,并接收与会者关于实现的实用性的反馈。 举办互操作性研讨会的原因相同,此外,还允许公司测试其实现与其他研讨会参与者的互操作性。

从研讨会收集所有反馈和实施结果后,作者将更新并优化提交到标准制定组织的规范。

WS-Federation被动请求者配置文件互操作性研讨会

2004年3月29日和30日,WS-Federation被动请求者配置文件规范的作者在华盛顿雷德蒙德的 Microsoft 校园举办了为期两天的互操作性研讨会。

为期两天的研讨会是为根据 2003 年 7 月 8 日发布的WS-Federation规范和 2003 年 7 月 8 日发布的WS-Federation被动请求者配置文件实施的公司举办的公开论坛。 活动前提供了一个方案文档,并邀请与会者使用其他公司的实现来测试其方案的实现。 研讨会的与会者包括 IBM Corporation、Microsoft Corporation、Netegrity Inc.、Oblix Inc.、OpenNetwork Corporation、Ping Identity Corporation 和 RSA Security Inc.有关此和其他 Web 服务协议研讨会的详细信息,请参阅 MSDN

WS-Federation规范

WS-Federation规范是 Web 服务安全规范集的一部分。 它定义了一个模型和消息集,用于跨不同信任领域中转信任以及标识和身份验证信息的联合。

WS-Federation规范跨信任领域标识标识和身份验证请求的两个源:主动请求者(例如启用 SOAP 的应用程序)和定义为 HTTP 浏览器的被动请求者,这些浏览器能够广泛支持 HTTP (例如 HTTP 1.1) 。

WS-Federation被动请求者配置文件

WS-Federation被动请求者配置文件是WS-Federation的实现,它为被动请求者 ((如 Web 浏览器)) 应用联合框架提出了标准协议。 在此协议中,Web 服务请求者应了解新的安全机制,并能够与 Web 服务提供商交互。

WS-Federation被动请求者配置文件互操作性

WS-Federation被动请求程序互操作性配置文件

WS-Federation被动请求程序互操作性配置文件是被动请求者配置文件的进一步约束,目的是提供更多互操作性保证。 配置文件定义了一个标准,用于使用 SAML (安全断言标记语言) 作为令牌类型,在被动请求者的上下文中请求、交换和颁发安全令牌。

WS-Federation被动请求程序互操作性配置文件是在研讨会之前创建并分发给参与者的,作为创建WS-Federation被动请求者配置文件的可互操作实现的指南。 为了测试建议的协议,供应商协作创建实现方案。 此方案反映了组织将服务(如权益)外包给第三方,但在此方案中通过内部网站 (被动请求者提供对服务的品牌访问) 的常见需求。

互操作方案

在互操作性研讨会的场景中,公司“我的雇主 (ME) ”将员工福利的管理外包给第三方,福利公司 (BC) 。 我的雇主和福利公司已经为商业联合会建立了信任和政策。 作为其商业联盟与福利公司的协调的一部分,“我的雇主”同意向福利公司发送某些特定于用户的属性以及资源请求。 Benefits Company 的福利管理应用程序要求在显示“我的雇主”员工请求的特定资源之前存在这些属性。

此方案的目标是三重:

  • 通过使 ME 能够将员工福利的管理外包,说明组织与第三方服务提供商之间的企业到企业联盟。
  • 测试使用WS-Federation被动请求者配置文件中所述的标准创建的不同供应商解决方案之间的互操作性。
  • 通过以下方式实现商业联合的好处:
    • 无需 BC 管理 ME 员工的身份和密码即可管理福利。
    • 为 ME 员工向 BC 域提供受信任的 Web 单一登录 (SSO) 。

方案演练

ME 员工正在工作,并访问内部福利门户页面。 如果员工尚未在 ME 登录到其域,则必须先登录,然后才能获得对权益门户页面的访问权限。 权益门户页面显示与单个用户(或 ME 本身)相关的信息,并包含用于管理用户权益的链接。

员工单击福利管理链接,并使用以前提供的用于向 ME 权益门户页面进行身份验证的凭据向福利公司进行身份验证。

福利管理应用程序向员工提供一个自定义的“欢迎页面”,该应用程序提供有关员工福利选择的个性化信息。

此处,实际的福利应用程序实现将允许员工更新其运行状况计划选项,然后单击链接来管理其运行状况计划。 向员工显示可用的不同运行状况计划选项以及每个计划的成本。 员工选择一个新的健康计划,并显示要从每个薪水中扣除的新金额。 要求员工确认此事务。

员工确认他们的选择并返回到自定义的“欢迎页面”,该页面现在显示更新的运行状况计划信息。

如果员工再次单击其运行状况计划的链接,则会显示他们选择的运行状况计划的详细信息,并能够在注册期结束前修改其选择。

完成交易后,员工单击 BC 站点上的注销链接,并转回 ME 的内部门户,该门户会显示员工已注销权益公司应用程序的确认。

研讨会结果和讨论

WS-Federation被动请求者配置文件互操作性研讨会展示了所有参与供应商的所有实现之间的高度互操作性,实现速度比预期快得多,问题更少,这清楚地表明这些实现越来越成熟。

目前实现 Web 服务的客户希望了解其应用程序符合现有标准,并且能够与支持 Web 服务的其他产品进行互操作性。 研讨会上测试的互操作性方案的实现演示了所有供应商解决方案之间的互操作性。

为 Web 服务和联合标识管理提供全面、一致且可扩展的模型需要平台供应商、应用程序开发人员、网络和基础结构提供商以及客户的协调努力。 最近WS-Federation被动请求者配置文件互操作性研讨会等活动促进了行业对 Web 服务标准的演变的广泛参与,并确保客户、开发人员和供应商具有经过验证的协议,用于构建跨平台、应用程序和编程语言的一致、可靠且可互操作的 Web 服务。

互操作性是且将继续成为客户关于 Web 服务实现决策的一个日益严重的因素。 为了支持实现 Web 服务的互操作性,Microsoft 建议:

  • 遵循已建立的 Web 服务实现协议。 可以在 MSDN Web Services 开发人员中心找到 Web 服务规范和 Web 服务开发和实现的其他支持。
  • 参加即将举行的 Web 服务反馈和互操作性研讨会。 单击以获取更多 研讨会信息
  • 熟悉 WS-I 互操作性指南。 有关指南和其他 WS-I 开发人员资源的详细信息,请参阅 http://www.ws-i.org/
  • 使用 WS-I 测试工具确认 Web 服务应用程序符合 WS-I 互操作性准则。

Web 服务安全规范集为联合标识管理提供了一个完整的解决方案,允许组织和外部用户之间安全高效的通信和协作。 基于 WS 安全标准创建可互操作的解决方案将进一步加速联合标识管理的采用,并使客户能够实施 Web 服务解决方案,同时降低实施成本和风险。

有关详细信息,请参阅以下资源:

© 2004 Microsoft Corporation。 保留所有权利。

这是一份初步文档,可能会随着时间的推移而发生重大更改。 本文档中包含的信息代表 Microsoft Corporation 在发布之日对所讨论问题的当前观点。 由于 Microsoft 必须应对不断变化的市场状况,因此不应将其解释为 Microsoft 的承诺,并且 Microsoft 无法保证在发布日期之后提供的任何信息的准确性。

本文档中包含的信息的呈现、分发或其他传播不是对 Microsoft 和\或任何其他第三方拥有或控制的任何知识产权的明示或默示许可。 Microsoft 和或任何其他第三方可能拥有涉及本文档主题的专利、申请、商标、版权或其他知识产权。 本文档的提供并不授予你对 Microsoft 或任何其他第三方的专利、商标、版权或其他知识产权的任何许可。 此处描述的示例公司、组织、产品、域名、电子邮件地址、徽标、人员、地点和事件均属虚构。 无意与任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件相关联,也不应进行这方面的推断。

本文档和此处包含的信息以“按原样”提供,并在适用法律允许的最大范围内,Microsoft 按原样提供文档,并附带所有错误,并特此否认所有其他明示、默示或法定的担保和条件,包括但不限于任何 ((如果有任何) 默示保证), 适销性、针对特定用途的适用性、答复的准确性或完整性、结果、类似工人的努力、缺乏病毒和缺乏疏忽的责任或条件,都与文件有关。 此外,没有所有权、安静享受、安静拥有、与描述或不侵犯有关文档的任何知识产权的对应关系或条件。

在任何情况下,MICROSOFT 不对任何其他方承担采购替代商品或服务的费用、利润损失、使用损失、数据丢失或任何附带的、后果性的、直接的、间接的或特殊的损害赔偿,无论是否根据合同、侵权、担保或其他任何方式产生, 该方是否事先通知了此类损害的可能性。

Microsoft 和 Microsoft Web Services 是 microsoft Corporation 在美国和/或其他国家/地区的注册商标或商标。

此处提到的真实公司和产品的名称可能是其各自所有者的商标。