《中科院高能物理所马兰馨2015.8.20》由会员分享,可在线阅读,更多相关《中科院高能物理所马兰馨2015.8.20(15页珍藏版)》请在金锄头文库上搜索。
1、中科院高能物理所 马兰馨2015.8.20Indico 统一认证的实现目目 录录lIndico 简介 & 为什么加入统一认证l高能所基于Shibboleth统一认证介绍lIndico 连接统一认证Indico 简介简介lIndico (Integrated Digital Conferencing) 会议管理系统l西欧核子中心(Conseil Europen pour la Recherche Nuclaire ,The European Organization for Nuclear Research,CERN) 开发l开源,基于Python,ZODB数据库,Apache, WSGI,l组
2、织不同复杂程度的会议:lecture,meeting,workshop,conferencel功能:l注册l提交、审核摘要l提交、审核文章l存储会议资料l安排会议日程lWeb界面,操作方便l高能所的Indico管理的会议:4000+为什么为什么 Indico 要加入统一认证要加入统一认证l背景l每个应用都有自己的认证系统lIndico 也一样,具有自己的认证系统l用户不便于记忆l管理员不便于管理l加入统一认证的优点l用户使用单一的用户名和口令l简单、方便l便于管理l目标:逐一的把应用加入到统一认证高能所基于高能所基于 Shibboleth 统一认证系统统一认证系统lShibboleth (A
3、Web-based Single Sign On, SSO)l美国 Internet2 高级网络联盟/MACE(Moddleware Architecture Committee for Education)小组的一个项目l其目的是开发一个基于标准(主要是SAML和 XML Schema)的体系结构和策略框架及一套开放源代码软件,以用于支持机构间的、需要存取控制的Web资源共享的单点登录系统。l安全断言标记语言 SAML(Security Assertion Markup Language )lXML即可扩展标记语言(eXtensible Markup Language)为什么选择为什么选择
4、Shibboleth用户只需记住一个username/password 用户管理简单、集中 安全地访问第三方服务 跨组织、联盟 使机构选择自己的身份验证技术 使服务提供者可以控制其被访问的资源 整合不同的第三方服务 系统组件系统组件IdP (Identify Provider) 主要负责提供各种凭证和属性,对用户身份进行认证和用户属性进行管理。当用户请求访问受限资源时,IdP 会发送验证声明或属性声明给SP。 SP (Service Provider) 主要负责访问资源安全方面的管理,对资源进行保护、用户访问资源进行授权和执行访问控制,通过 IdP 发送来的声明决定用户是否获得资源访问权限。
5、DS (Discovery Service) 以互动方式为用户提供 IdP 选择的标准接口,具有高度可定制性,可将用户提交的选择直接将用户重定向给对应的 SP。 DS 可由资源控制,也可作为中心共享服务运行。 构成构成 SSO 主要角色主要角色构成基于构成基于Web的的SSO系统的主要角色系统的主要角色 Web Browser: 用户用户 Resource: 被保护资源被保护资源 IdP (Identity Provider): 认证用户认证用户 SP (Service Provider): 执行认证,转到被保护资源执行认证,转到被保护资源DS (Discovery Service Provi
6、der):允许用户选择允许用户选择IdP 工作流程工作流程1.用户访问被保护资源2. SP 使得页面跳转到 IdP并发出认证请求3. IdP认证用户4. IdP 返回认证信息给 SP5. SP检查返回值6. 返回到被保护资源架构架构: IDP + SPs + LDAP + username+ password一个一个SP保护一个应用保护一个应用支持认证方式支持认证方式Web非Web (配置 IDP 支持 ECP 扩展接口)用户信息组织用户信息组织 (LDAP)基本信息、属性值、所属组信息用户组信息的集中管控用户组信息的集中管控授权方式:根据用户授权方式:根据用户属性值及所属性值及所属组进行授权
7、属组进行授权 加入联盟认证加入联盟认证ShibbolethIDPSPIndicoSPAppSPDocDB用用户信息数据信息数据库LDAP用户基本信息用户属性、组信息ECP非Web服务基于Web服务联盟认证DSMDUI高能所统一认证系统架构图Indico 接入统一认证接入统一认证 (1/2)Indico 基于基于Web的的应用应用SP SP 保护保护 Indico Indico 安装在同一台机器上,实现对资源的保护登录跳转到统一认证用户信息组织用户信息组织统一认证数据库存放用户名、口令、基本信息Indico 本地数据库存放授权信息和少部分基本信息统一认证系统账号与统一认证系统账号与indico本
8、地账号的对应关系本地账号的对应关系邮件地址作为唯一标识形成高能所统一认证账号与indico本地账号的对应关系用户组的集中管控用户组的集中管控在统一认证用户信息中定义用户所属组Indico指定category只可以被该组成员访问Indico 接入统一认证接入统一认证(2/2)接口程序接口程序为了允许统一认证用户登录,应用程序需要进行一些修改,要写接口程序(PHP, Python, JSP,)主要功能主要功能:1. 检查该用户是否已经通过了统一认证,具体检查方法为: 查找HTTP请求中有没有名为Shib-Identity-Provider的请求头,对于php应用程序, 使用 $_SERVERShi
9、b-Identity-Provider; 来进行检查2. 如果通过步骤1中的检查,用户已经通过了单点认证,则从HTTP请求头中取得用户名、姓、名、所属机构名、邮件地址、等等信息,并放入Session中,以便于以后和应用程序的其他部分共享这些信息。3. 与本地数据库进行比对,如何本地数据库允许其用户登入,得到用户授权信息以及所属组信息,根据用户权限以及组,把用户重定向到应用界面4. 如果没通过步骤1、步骤2、步骤3的检查,则退出应用Indico 截图谢谢谢谢!Shibbole如何工作IdP与SP通过SAML消息传送用户的身份认证和属性等信息。SAML消息定义了2种重要的语句:(1)身份验证语句,关于该主题在何时何地、使用何种身份进行过验证的报告。 。(2)属性语句,包含了与主题有关的属性。属性语句中典型的属性是组和角色。SAML定义了一组XML格式的请求和应答消息,SP可使用这些消息直接获取断言。
