共用方式為

同盟身分識別管理互通性

  • 發行項

 

Microsoft Corporation

2004 年 5 月

總結: 當企業將內部系統擴充至外部使用者時,請務必確保系統可以與其他組織的應用程式交互操作。 前置身分識別管理解決方案提供者在最近的互通性研討會中示範了符合此需求的解決方案。 (7 個列印頁面)

注意 本檔說明該研討會的結果,其中會根據 Web 服務安全性組測試,使用WS-Federation被動要求者設定檔實作互通性案例。

目錄

同盟身分識別管理
Web 服務通訊協定研討會
WS-Federation被動要求者設定檔互通性
工作坊結果和討論
相關連結

同盟身分識別管理

為了符合目前產業趨勢的挑戰,例如企業對企業商務成長、行動性增加,以及持續連線的需求,組織會將內部系統延伸給外部使用者,以提供與客戶、合作夥伴、供應商和行動員工的連線能力。 提供有效率且順暢的連線需要建立「信任型」關聯性,讓組織能夠安全地共用使用者的身分識別資訊。 信任關係可讓身分識別和原則資訊在與平臺、應用程式或安全性模型無關的組織之間流動。 信任關係必須快速且有效率地形成,才能將生產力最大化,並消除現今經常發生的手動程式。 同盟描述此相互連線所需的技術和商務安排。

同盟系統必須跨組織界限交互操作,並使用不同的技術、身分識別儲存體、安全性方法和程式設計模型來連接程式。 在同盟系統中,身分識別及其相關聯的認證仍會分別儲存、擁有和管理。 同盟的每個個別成員都會繼續管理自己的身分識別,但能夠安全地共用和接受來自其他成員來源的身分識別和認證。

在同盟系統中,組織不僅需要標準化且安全的方式來表達它提供給信任的合作夥伴和客戶使用的服務,也需要其執行其業務的原則,例如其他組織及其信任的使用者、接受的認證類型和要求,以及其隱私權原則。

Microsoft 正與業界領導者合作,為分散式應用程式架構開發一組規格,這些規格通常稱為 Web 服務。 Web 服務架構是以 SOAP、XML、WSDL 和 UDDI 等業界標準為基礎,並提供為擴充企業提供完整且互通的商業解決方案的基礎,包括管理同盟身分識別和安全性的功能。 Web 服務模型以不同語言撰寫企業系統的概念為基礎,這些模型會以不同的程式設計模型撰寫,這些模型會從許多不同類型的裝置上執行和存取。 Web 服務是一種與平臺和語言無關的方式,可建置分散式系統,以輕鬆且有效率地跨網際網路彼此連線及互動。 如需有關 Web 服務和 Web 服務規格的詳細資訊,請參閱 MSDN Web 服務開發人員中心

互通性

Web 服務架構及其啟用的應用程式成功,取決於這些應用程式能夠跨受信任的企業、合作夥伴和服務相交互操作,而不論與其互動的平臺、程式設計語言或應用程式為何。 為此,實作 Web 服務的企業企業希望其應用程式符合 Web 服務標準,以確保互通性。 Web 服務標準,包括 SOAP、XML、WSDL 和 UDDI,可讓開發人員建立可跨多個平臺、程式設計語言和應用程式互通的 Web 服務解決方案。 確認此互通性存在的主要方式之一,以及 Web 服務規格正在提供這些商務目標,是透過通訊協定 Interop 研討會。

Web 服務通訊協定研討會

Web 服務通訊協定研討會是一種涉及 Web 服務社群的方法, (包括終端使用者公司、ISV 和其他廠商,) 驗證和調整 WS-* 規格。 工作坊有兩種類型:意見反應和互通性。 意見反應研討會 可讓每個 Web 服務通訊協定的作者分享設計的背景資訊,並接收出席者有關實作實作實務的意見反應。 互通性研討會基於相同的原因而舉辦,此外,也允許公司與其他工作坊參與者測試其實作的互通性。

從工作坊收集所有意見反應和實作結果之後,作者會更新並精簡提交至標準設定組織的規格。

WS-Federation被動要求者設定檔互通性研討會

在 2004 年 3 月 29 日和 30 日,WS-Federation被動要求者設定檔規格的作者在華盛頓州 Redmond 的 Microsoft Campus 上裝載了兩天的互通性研討會。

這兩天的研討會是一個開放論壇,適用于根據 2003 年 7 月 8 日發行的WS-Federation規格實作的公司,以及 2003 年 7 月 8 日發行的WS-Federation被動要求者設定檔。 在邀請出席者使用其他公司的實作來測試案例的實作之前,提供了案例檔。 工作坊中的參與者包括 IBM Corporation、Microsoft Corporation、Netegrity Inc.、Oblix Inc.、OpenNetwork Corporation、Ping Identity Corporation 和 RSA Security Inc.如需有關此和其他 Web 服務通訊協定研討會的詳細資訊,請參閱 MSDN

WS-Federation規格

WS-Federation規格是 Web 服務安全性規格集的一部分。 它會定義一組模型和一組訊息,用於代理信任,以及跨不同信任領域之身分識別和驗證資訊的同盟。

WS-Federation規格會識別信任領域中的兩個身分識別和驗證要求來源:主動要求者,例如啟用 SOAP 的應用程式,以及定義為可廣泛支援 HTTP (的 HTTP 瀏覽器的被動要求者,例如 HTTP 1.1) 。

WS-Federation被動要求者設定檔

WS-Federation被動要求者設定檔是WS-Federation的實作,並建議被動要求者如何 (標準通訊協定,例如網頁瀏覽器) 套用同盟架構。 在此通訊協定中,Web 服務要求者應瞭解新的安全性機制,並能夠與 Web 服務供應商互動。

WS-Federation被動要求者設定檔互通性

WS-Federation被動要求者互通性設定檔

WS-Federation被動要求者互通性設定檔是被動要求者設定檔的進一步限制,目的是提供更多的互通性保證。 設定檔會使用 SAML (安全性判斷提示標記語言) 作為權杖類型,定義在被動要求者內容中要求、交換及發行安全性權杖的標準。

WS-Federation被動要求者互通性設定檔是在工作坊之前建立並散發給參與者,作為建立WS-Federation被動要求者設定檔互通實作的指南。 為了測試建議的通訊協定,廠商在建立實作案例時共同作業。 此案例反映組織將權益等服務外包給協力廠商,但透過內部網站提供服務的品牌存取權, (此案例中的被動要求者) 。

Interop 案例

在互通性研討會的案例中,我的雇主 (ME) ,將員工權益的管理外包給協力廠商 Benefits Company (BC) 。 我的雇主和權益公司已建立商務同盟的信任和原則。 在與權益公司的商務同盟協調過程中,我的雇主同意傳送特定使用者特定屬性,以及權益公司的資源要求。 Benefits Company 的權益管理應用程式需要這些屬性存在,才能顯示員工在我的雇主要求的特定資源。

此案例的目標是三種:

  • 藉由讓 ME 外包員工權益的管理,說明組織與協力廠商服務提供者之間的企業對企業同盟。
  • 測試使用WS-Federation被動要求者設定檔中所述的標準所建立的不同廠商解決方案之間的互通性。
  • 透過下列方式實現商務同盟的優點:
    • 免除 BC 管理 ME 員工身分識別和密碼的需求,以管理權益。
    • 為 ME 員工提供受信任的 Web 單一登入 (SSO) 給 BC 網域。

案例逐步解說

ME 員工正在工作,並存取內部權益入口網站頁面。 如果員工尚未在 ME 登入其網域,他們必須先這麼做,才能獲得權益入口網站的存取權。 權益入口網站頁面會顯示與個別使用者或 ME 本身相關的資訊,並具有管理使用者權益的連結。

員工按一下權益管理連結,並使用先前提供給 ME 權益入口網站頁面的認證向權益公司進行驗證。

員工會由權益管理應用程式呈現自訂的「歡迎頁面」,以提供員工權益選擇的個人化資訊。

在這裡,實際的權益應用程式實作可讓員工更新其健康計畫選項,然後按一下連結來管理其健康計畫。 員工會顯示可用的不同健康情況計畫選項,以及每個方案的成本。 員工會選取新的健康情況計畫,並顯示要從每個付款中扣除的新金額。 系統會要求員工確認此交易。

員工會確認其選取專案,並返回自訂的「歡迎頁面」,現在會顯示更新的健康情況計畫資訊。

如果員工再次按一下其健康計畫的連結,就會顯示他們所選擇的健康計畫詳細資料,並能夠在註冊期間結束時修改其選擇。

完成交易之後,員工按一下 BC 網站上的登出連結,並轉回 ME 的內部入口網站,顯示員工已登出權益公司應用程式。

工作坊結果和討論

WS-Federation被動要求者設定檔互通性研討會示範參與之所有廠商的所有實作之間的高階互通性,而且這比預期更快,而且問題較少,這是這些實作成長成熟度清楚的徵兆。

現今實作 Web 服務的客戶想要知道其應用程式符合現有的標準,而且能夠與其他支援 Web 服務的產品互通。 在工作坊測試的互通性案例實作示範了所有廠商解決方案之間的互通性。

為 Web 服務和同盟身分識別管理提供全面、一致且可延伸的模型,需要平臺廠商、應用程式開發人員、網路和基礎結構提供者和客戶協調努力。 最近WS-Federation被動要求者設定檔互通性研討會等事件,可促進 Web 服務標準演進的廣泛產業參與,並確保客戶、開發人員和廠商已證明通訊協定,可建置跨平臺、應用程式和程式設計語言一致、可靠且可互通的 Web 服務。

互通性是,而且會持續成為客戶對於 Web 服務實作的決策不斷成長的因素。 為了支援 Web 服務的實作互通性,Microsoft 建議:

  • 遵循已建立的 Web 服務實作通訊協定。 您可以在 MSDN Web 服務開發人員中心找到 Web 服務開發和實作的 Web 服務規格和其他支援。
  • 參與即將推出的 Web 服務意見反應和互通性研討會。 按一下以取得更多 工作坊資訊
  • 熟悉 WS-I 互通性指導方針。 如需指導方針和其他 WS-I 開發人員資源的詳細資訊,請參閱 http://www.ws-i.org/
  • 利用 WS-I 測試控管來確認您的 Web 服務應用程式符合 WS-I 互通性指導方針。

Web 服務安全性規格集提供同盟身分識別管理的完整解決方案,讓組織與外部使用者之間能夠安全且有效率的通訊和共同作業。 根據 WS 安全性標準建立可互通的解決方案,可進一步加速採用同盟身分識別管理,並讓客戶實作 Web 服務解決方案,並降低實作成本和風險。

如需詳細資訊,請參閱下列資源:

© 2004 Microsoft Corporation. 著作權所有,並保留一切權利。

這是初步檔,可能會隨著時間大幅變更。 本文件所含的資訊代表 Microsoft Corporation 在發行日當下對問題的看法。 由於 Microsoft 必須回應不斷變化的市場狀況,因此不應將它解譯為 Microsoft 的一部分的承諾,而且 Microsoft 無法保證發行日期之後所呈現之任何資訊的精確度。

本檔內含資訊的簡報、散發或其他資訊,不是 Microsoft 擁有或控制之任何智慧財產的授權或隱含授權。或其他任何協力廠商。 Microsoft 和\或任何其他協力廠商可能擁有涵蓋本檔中主題的專利、專利應用程式、商標、著作權或其他智慧財產權。 本檔的授權不會授與您任何授權給 Microsoft 或任何其他協力廠商專利、商標、著作權或其他智慧財產權。 此處所描述的範例公司、組織、產品、網域名稱、電子郵件地址、商標、人員、地點與事件均屬虛構。 並非影射任何真實的公司、組織、產品、網域名稱、電子郵件地址、商標、人員、地點或事件。

本檔和本文所包含的資訊是以「AS IS」為基礎提供,而且根據適用法律所允許的最大範圍,Microsoft 會提供 AS IS 和 WITH ALL FAULTS 檔,並藉由明示、隱含或法律,以及任何) 隱含的擔保和條件,不限於任何) 隱含擔保時,不限於任何 (。 適適性、適合特定用途、正確性或回應完整性、結果、工作工作、缺乏病毒,以及缺乏失失,與檔有關的責任或條件。 此外,沒有標題、無訊息的保固或條件、無訊息擁有權、描述或未違反任何與檔相關之智慧財產權的對應。

在任何情況下,MICROSOFT 對於採購替代商品或服務、損失收益、使用損失、資料損失,或任何附隨性、衍生性、間接或特殊損害,無論在合約、TORT、保固或其他任何方面都由本檔或任何其他合約所造成,MICROSOFT 不需承擔任何責任。 無論這類合作物件是否事先通知這類損害的可能性。

Microsoft 和 Microsoft Web 服務是 microsoft Corporation 在美國和/或其他國家/地區的注冊商標或商標。

本文件中所提實際公司和產品,可能為各所有人所有之商標。