對于企業內部系統來說，CAS系統是一個應用最廣的開源單點登陸實現了，其實現模仿Kerberos的一些概念，例如KDC、TGS等等，都是來自于Kerberos。具體可參見 用CAS原理構建單點登錄。互聯網發展之后，多個網站需要統一認證，業界需要適合互聯網的單點登陸技術。

2002年，微軟提出了passport服務，由微軟統一提供帳號和認證服務，理所當然，大家都不愿意受制于微軟，但是很認同微軟提出WEB SSO理念，于是產生了Liberty Alliance，另外指定一套標準，這套標準發展起來就是SAML（安全斷言標記語言），已經被結構化信息標準促進組織(OASIS)批準為Web 單點登錄的執行標準，目前SAML的版本是SAML V2。SAML連同Web單點登錄共同構成了現代網絡環境中的必備條件。

當今，越來越多的系統通過Web服務、門戶和集成化應用程序彼此鏈接，對于保證信息安全交換標準的需求也隨之日益增多。安全斷言標記語言(Security Assertion Markup Language，SAML)提供了一個健壯且可擴展的數據格式集，在各種環境下交換數據和身份識別信息。SAML的出現大大簡化了Web單點登錄，并被結構化信息標準促進組織(OASIS)批準為Web SSO的執行標準。這里的一個關鍵概念是身份聯邦，它可滿足SAML的定義，也就是說可使用獨立、受管理的多個信息來源中的信息。

???? Web安全方面最具挑戰性的一個問題是維持一次無縫操作和安全環境時, 使各不相同的安全系統達到一體化。比如在電子商務活動過程中，經常需要通過網絡來交換機密的資料或數據，因此，對于安全功能的要求十分嚴格。

OASIS建立的安全標準—SAML是基于XML(可擴展標記語言)、面向Web服務的架構。SAML通過互聯網對不同安全系統的信息交換進行處理。

SAML是一種語言，進行單一的XML描述，允許不同安全系統產生的信息進行交換。通常來說，一個企業在物理或邏輯的范圍已經界定了企業的IT安全;然而，由于在線合作需要共享更可靠的安全服務環境，因此IT安全越來越成為人們關注的重點問題。

SAML正是為解決網絡安全性問題而發揮其作用。SAML在傳統意義上的安全界定與商務站點之間建立了一種安全信息的交換渠道。SAML作為安全信息交換的“中間人”，促使一個站點上的交易業務能夠在另一個信任的站點上得到處理完成。由此可見，實現交易雙方商業協議或合作的一個先決條件，是要求使用SAML作為共享安全架構的一部分。

SAML在標準行業傳輸協議環境里工作，例如HTTP、SMTP和FTP;同時也服務于各種各樣的XML文件交換框架，例如SOAP和BizTalk。SAML具備的一個最突出的好處，是使用戶能夠通過互聯網進行安全證書移動。也就是說，使用SAML標準作為安全認證和共享資料的中間語言，能夠在多個站點之間實現單點登錄。

SAML是一種基于XML語言用于傳輸認證及授權信息的框架，以與主體相關的斷言形式表達。在這里，主體是一個實體(人或計算機)，這個實體在某個安全域中擁有一個特定身份，斷言可傳遞主體執行的認證信息、屬性信息及關于是否允許主體訪問其資源的授權決定。針對以上不同目的，SAML提供以下幾種不同類型的安全斷言:

● 認證斷言(Authentication Assertion):認證斷言用來聲稱消息發布者已經認證特定的主體。

● 屬性斷言(Attribute Assertion):屬性斷言聲稱特定主體具有特定的屬性。屬性可通過URI(統一資源標識)或用來定義結構化屬性的一種擴展模式進行詳細說明。

● 決定斷言(Decision Assertion):一個決定斷言報告了一個具體授權請求的結果。

● 授權斷言(Authorization Assertion):授權斷言聲稱一個主體被給予訪問一個或多個資源的特別許可。

SAML斷言以XML結構描述且具有嵌套結構，由此一個斷言可能包括幾個關于認證、授權和屬性的不同內在斷言(包括認證聲明的斷言僅僅描述那些先前發生的認證行為)。

????? 在2005年底，隨著監控、移動設備、寬帶業務以及應用安全領域的四家主要廠商通過了最后一回合的聯邦身份互操作性測試，自由聯盟(Liberty Alliance)公布了SAML 2.0。

SAML 2.0版在2005年3月剛剛被OASIS批準。Liberty Alliance的目的是讓盡可能多的廠商把SAML加入到他們的產品線中。微軟的Windows Identity Foundation(WIF)支持SAML令牌。

有一些互聯網公司，擁有眾多很多帳號，例如GOOGLE、YAHOO、Facebook，希望別人的系統使用它們的帳號登陸。他們希望一種足夠簡單的WEB SSO規范，于是選擇一種草根網絡協議OpenID。OpenID，名字取得好，顧名思義，一看就知道它是干嘛的。國內也有例如豆瓣網。openID的確足夠簡單，但是協議本身是不完善，可能需要一些補充協議才能夠滿足業務需求。例如GOOGLE采用OpenID + OAuth。目前支持OpenID有Yahoo、Google、Windows Live。

Open ID和SAML兩種規范，都將會減少系統間交互的成本，我們提供Open API時，應該支持其中一種或者或兩種規范。

?

Claims Based Identity & Access Control Guide

Yale CAS + .net Client 實現 SSO（1）

Yale CAS + .net Client 實現 SSO（2）

Yale CAS + .net Client 實現 SSO（3）

?

總結

以上是生活随笔為你收集整理的Web 单点登录系统的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。