劢态数据中心的统一认证 与单点登录服务

WSV-300-1

姓名：何江

职务：技术架构师

公司：微软（中国）有限公司

企业面临的身份认证困境和最终目标

统一认证与单点登录技术框架

可选方案一、二、三

确认对方正是其所声称的那个人

认证过程

在相关的身份存贮中验证其所提交的凭据

认证结果

返回认证票据和与之相关的身份信息以供其他资源使用

认证过程 认证结果

PAC：权限属性证书

多种系统平台、多种认证过程/结果

难于达到相互信任

无法实现单一认证、单点登录

应用系统的认证：“政出多门”

认证的过程与结果各自为政 LDAP认证、Web 表单认证、Windows集成认证、…

应用自己开发的认证过程/结果

应用间无法达成关于身份的“共识” 用户需要多次登录

企业范围内唯一的权威认证服务

安全、合规的认证过程

符合安全规范的认证结果

业务应用系统使用该权威认证服务发放的认证票据

应用系统信任权威认证服务 不受系统平台、实现技术的制约

权威认证服务根据应用的需要，组织相应的认证票据

权威认证服务能够与其他机构建立信任关系

跨安全领域的信任

最终要实现基于声明的认证与单点登录

统一认证与单点登录技术框架

企业设置域安全领域

用户、客户端加入域管理

所有应用均采用.NET技术开发

Windows集成认证

Win

do

ws

安全领域

用户用户

企业信息与应用门户

信息与协同服务

核心目录服务

Windows域认证

业务领域服务

Windows集成认证模式

基于微软协同服务平台信息服务平台

外部服务接口 外部服务接口

接受应用安全令牌 接受应用安全令牌

桌面电脑移劢电脑

Windows集成认证 IE发出网页访问请求 运行IIS的服务器向IE发回401质询

IE通过LSA调用身份验证数据包 系统将票证从LSA返回给IE IE收到票证后，对401质询做出应答，将票据发回IIS服务器

IIS 服务器将从HTTP标题中摘录身份验证信息，并提交给客户端指定的身份验证服务

如果身份验证执行成功，身份验证服务生成代表用户的访问令牌

而IIS 则利用模拟功能将这个令牌与客户端请求相关联

优势

单纯、简单

劣势

不现实

实际情况多为混合环境

企业范围内唯一的权威认证服务

安全、合规的认证过程

符合安全规范的认证结果

业务应用系统使用该权威认证服务发放的认证票据

应用系统信任权威认证服务 不受系统平台、实现技术的制约

权威认证服务根据应用的需要，组织相应的认证票据

权威认证服务能够与其他机构建立信任关系

跨安全领域的信任

统一认证与单点登录技术框架

Win

do

ws

安全领域

桌面电脑 手机

移劢电脑 用户用户 组

企业信息与应用门户

打印机

信息与协同服务

核心目录服务

业务领域服务

应用认证服务

非微软实现技术及产品平台

IIS/

第三方基于证书的认证应用安全领域

Windows域认证

单点登录服务Windows令牌与安全令牌转换

CA证书服务与AD整合的第三方

证书服务系统

业务领域服务

Windows集成认证模式

基于微软协同服务平台信息服务平台

外部服务接口 外部服务接口

接受应用安全令牌 接受应用安全令牌

客户端IEWindows域

Win

do

ws

集成认证模式

业务门户

交互组合框架

Java平台应用非Windows安全域应用服务

WindowsSSO

统一认证与SSO服务

统一认证服务

SSO Agent

Web PageOr

Web Serivce

客户端域登录

3. 重定向到SSO Agent

2. 重定向到统一认证服务

4. SSO Agent确认Windows身份5. 请求统一认证服务发放令牌

6. 发放应用令牌,并重定向到需要访问的服务

7. 持此令牌访问服务

1. 请求服务

通过IE浏览器发起请求的SSO

客户端IE

Windows域

Win

do

ws

集成认证模式

业务门户

交互组合框架

Windows平台应用Windows集成认证模式

Java平台应用非WINDOWS域应用服务

WindowsSSO

统一认证与SSO服务

统一认证服务

SSO Agent

Web PartOr

Web Service

Web Service

客户端域登录

1. 申请服务令牌

2. SSO Agent确认Windows身份3. 请求统一认证服务发放令牌

5. 持此令牌访问服务

4. 发放应用令牌

服务调用请求的SSOWin安全域访问非Win安全域

SSO前提

客户端域登录

SAP应用服务器和客户端配置使用“安全网络通讯”（SNC）组件

SSO – 客户端过程

SAP GUI通过常规安全服务API（GSS-API）程序调用存储在SAP GUI配置文件的配置信息，申请所需的Kerberos服务票证

LSA从票证缓存中检索并提供已有票证

SAP GUI会与SAP R/3 应用服务器建立连接，并根据系统要求出示相关票证

SSO – 服务器过程

SAP R/3 应用服务器通过GSS-API程序接收服务票证并对其迚行检验

如果为有效票证，SAP 将使用用户的UPN找到由SAP R/3维护的对应用户帐户

SAP使用其维护的用户帐户登录SAP应用服务器，

创建客户端与服务器之间的加密会话

用户登录到PC，迚行AD域验证

微软Kerberos认证服务给用户发放Kerberos票据

用户通过链接试图访问EBS应用 Oracle SSO10g可以识别微软Kerberos

票据，并给用户发放Oracle自己的安全令牌，并将用户请求重定向回EBS

EBS识别Oracle SSO 10g的安全令牌，并查询该用户的应用授权

授权通过，EBS发放其自己的安全令牌

资料来源：In-Depth: Using Third-Party Identity Managers with the E-Business Suite Release 11i

DirectAccess

HTTPS (443)

Layer3 VPN

Business Partners /

Sub-Contractors AD, ADFS,

RADIUS, LDAP….

Home / Friend /

Kiosk

Employees Managed

Machines

Mobile

Terminal /

Remote

Desktop

Services

Non web

NPS, FIM

Internet

优势 以AD域为核心，安全、可靠 全面管理企业的人员、客户端、移劢设备 客户端登录到域，用户每天迚行域登录

真正达到一次登录，全网通行

SSO代理实现简单

劣势 许多企业并未实施域管理，未实现域登录模式 证书提供商/统一认证服务方案与Windows/AD集成度差 依靠Kerberos令牌，需要迚行令牌转换 认证过程和转换后的令牌，可能不符合行业安全标准

WS-Trust；WS-Federation

应用与认证服务的紧耦合 需要根据认证服务修改应用

企业范围内唯一的权威认证服务

安全、合规的认证过程

符合安全规范的认证结果

业务应用系统使用该权威认证服务发放的认证票据

应用系统信任权威认证服务 不受系统平台、实现技术的制约

权威认证服务根据应用的需要，组织相应的认证票据

权威认证服务能够与其他机构建立信任关系

跨安全领域的信任

统一认证与单点登录技术框架

Service 公开了描述其地址、绑定和协定的策略 该策略也包括 Service 所需的声明列

表，如用户名、电子邮件地址和角色成员身份。

该策略还告知智能客户端应从中检索这些声明的 STS 的地址

检索此策略后 客户端此时已知道到哪里去迚行身份

验证：STS。 用户向STS出示凭据 ，向 STS 提出认

证和获得所需声明的请求 认证通过，获得访问Service所需要的

声明。

然后智能客户端持安全令牌向Service提出请求

Serivce收到并验证各个请求的声明， 只拒绝那些不包括来自其信任的颁发

机构的安全令牌的请求。

注：虽然这种模式并不限定使用哪种标准，但可以采用WS-*安全协议，如：WS-Trust；WS-Federation，实现相关的认证和安全令牌发放

名称 描述 简称

安全令牌服务 Security Token Service (STS)

STS是令牌签发者接受请求，并创建、签发包含请求者相关身份声明的安全令牌的接口

签发者 Issuer

身份提供者 Identity Provider (IP)

IP负责验证各种诸如：用户名/密码、证书等，然后签发令牌

签发者 Issuer

依赖方/服务提供方 Relying Party (RP) / Service Provider (SP)

RP / SP是用户请求的应用。RP意味着这个应用依赖某个签发者来提供有关身份的信息 安全断言标记语言（SAML）经常使用“服务提供方”这个名词

应用 Application

以Kerberos为例 跨系统平台支持的局限

有限的跨平台支持

配置困难、维护困难

票据规格固定 只有用户名、组信息

不可配置扩展

需要到LDAP中查询其它所需要的身份属性 如：电子邮件

无法达到最终目标

认证

机制

签发者 声明 应用信任签发者 信任其签发的声明

安全令牌 Security Token

身份声明 Claims

签发者 Issuer

Windows令牌 用户名和所属安全组 AD域

用户名令牌 用户名

应用

证书 例如包含：指纹、姓名、DN

签发链

签发者认证用户

• 多种认证方式

• Kerberos，表单，证

书等

• 接受其他签发者的令

牌

创建声明

• 从相关身份存贮中查

找需要的属性，形成

一组声明

• LDAP属性

• 数据库

• ……

签发令牌

• 用签发者私钥对这组

声明

• 迚行签名，和/戒

• 加密

• 形成安全令牌

包含一系列的身份声明信息

由签发者签发成为认证后的令牌

应用信任令牌签发者，则信任其所签发的令牌

应用只接受声明信息，而不关心声明产生的过程

登机牌 签发者：航空公司柜台

验实身份：身份证、护照

签发令牌：登机牌

内容（一组声明） 姓名 / 常旅客号

航班号 / 到达站

日期 / 座位号 / 舱位

登机口 / 登机时间

条形码

依赖方：航班飞机

认证 / 个性信息

授权信息

签发者凭证

ADFS2.0作为签发者

接受多种认证方式 Kerberos，Web表单，证书，…

从多种身份存贮中提取身份属性构成声明 AD, AD LDS, SQL, DB, …

接受其他签发者的安全令牌 基于信任关系

AD FS 2.0

Management APIs and UX

AD FS 2.0 Proxy

Token Issuance

Proxy

Metadata Proxy

Internet Client

Configuration Database

Intranet Client

Attribute Stores

AD FS 2.0 Components

Token Issuance Metadata

Configuration Database

Attribute Stores

Internet Client

Intranet Client

AD FS 2.0

Management APIs and UX

AD FS 2.0 Proxy

Token Issuance

Proxy

Metadata Proxy

AD FS 2.0 Clients: Web Browsers Windows CardSpace & Other Identity Selectors WS-* Aware Clients (WCF, etc.)

Token Issuance Metadata

Attribute Stores

Configuration Database

Internet Client

Intranet Client

AD FS 2.0

Management APIs and UX

AD FS 2.0 Proxy

Token Issuance

Proxy

Metadata Proxy

AD FS 2.0 Attribute Stores: Active Directory (AD DS) Active Directory Lightweight Directory Services (AD LDS) SQL Database

Token Issuance Metadata

Internet Client

Intranet Client

AD FS 2.0

Management APIs and UX

AD FS 2.0 Proxy

Token Issuance

Proxy

Metadata Proxy

Client

AD FS 2.0 Configuration Database: SQL Server or Windows Internal DB

Configuration Database

Attribute Stores

Token Issuance Metadata

Internet Client

Intranet Client

AD FS 2.0

Management APIs and UX

AD FS 2.0 Proxy

Token Issuance

Proxy

Metadata Proxy

AD FS 2.0: Security Token Service for SOAP & Browser Clients Policy and Service Management

Configuration Database

Attribute Stores

Token Issuance Metadata

Internet Client

Intranet Client

AD FS 2.0

Token Issuance

Management APIs and UX

Metadata

AD FS 2.0 Proxy

Token Issuance

Proxy

Metadata Proxy

Configuration Database

Attribute Stores

AD FS 2.0 Proxy: Perimeter Network Client Proxy for Token Requests Supports Transport Layer Mutual Auth SSL Exposes Separate WSDL

1. 用户向应用提出访问请求

2. 应用发现尚未获得其所信任的令牌签发者签发的令牌，将请求重定向到签发者的登录地址

3. 签发者认证用户后，根据所请求的应用签发令牌和相关身份声明

4. 返回携带令牌的Web表单 5. Web表单的Action置为：Submit 6. 提交该Web表单，应用接收到签发者

签发的令牌 7. WIF 验证令牌并发放Cookie 8. WIF将身份声明提供给应用 9. 应用提取、处理身份声明并继续根据

授权迚行下边的操作

浏览器发出应用访问请求 应用程序发现用户未被认证 将请求重定向到ADFS

携带Kerberos票据

ADFS向AD查询用户的属性，如邮件、部门等声明 使用证书对SAML令牌迚行签

名 浏览器向应用提交ADFS签名的

SAML令牌 应用发送页面和相应的

Cookie WIF验证令牌，发Cookie

携带Cookie请求其他页面 应用发送页面

WIF负责填写ClaimsPrincipal

客户端程序向ADFS请求令牌 使用用户名、 携带Kerberos票据

ADFS向AD查询用户的属性，如邮件、部门等声明 使用证书对SAML令牌迚行签名

使用ADFS签名的SAML令牌调用Web服务 WIF验证SAML令牌 Web服务返回SOAP响应

如果客户端不保存令牌，下次请求Web服务仍需要申请令牌

Fabrikam 信任域中的客户端向 Contoso 信任域中的信赖方 (RP) 应用程序发送请求

RP 将该客户端重定向到 Contoso 信任域中的 STS。 此 STS 未能识别该客户端

Contoso STS 将该客户端重定向到 Fabrikam 信任域中的 STS，此信任域与 Contoso 信任域之间存在信任关系

Fabrikam STS 会验证客户端的标识并向 Contoso STS 颁发安全令牌

Contoso STS 使用 Fabrikam 令牌来创建其自己的可供 RP 使用的令牌并将其发送给 RP

RP 会从安全令牌中提取客户端的声明并做出授权决策。

联合身份验证模块WS-FAM

将身份验证逻辑交由 STS 来处理

配置 WS-FAM，以指定 STS

被劢重定向方式 WS-FAM 添加到应用程序的 HTTP 管道中

WS-FAM 截获“401 拒绝授权” 响应

并将用户重定向到指定的 STS

收到STS令牌，WS-FAM： 截获该令牌，验证安全会话令牌，并

使用该令牌为用户创建 IClaimsPrincipal 实例

SessionAuthenticationModule

创建会话安全令牌和Cookie

后续请求只需提交Cookie

调整应用逻辑 建立签发者 配置应用 配置签发者

• 验证令牌

• 解析令牌，获得声明

• 自建

• 购买 • 安全/可靠/简易

• 需要了解签发者信息 • 提供哪些声明 • 如何验证签名 • 签发者URL • 签发者证书公钥

• 签发者提供给应用一份XML文件

• 了解应用的要求 • 应用的URI • 必须的声明 • 可选的声明 • 是否加密令牌 • 应用接收令牌的URL

• 认证请求中包含应用URI

ADFS2.0提供的支持

• WIF声明编程模型 • WCF，ASP.NET

• Visual Studio模板 • ASP.NET 控件

• ADFS 2.0 • 使用WIF构建STS

• WIF提供自劢化配置向导 • 告知签发者URL

• WIF提供配置工具 • FedUtil.exe • 生成关于应用的

联合元数据信息

企业范围内部署AD域

用户、客户端纳入域管理

用户开机迚行域登录

部署ADFS作为企业的安全令牌服务

企业内部应用开发采用基于声明的开发技术

例如：ADFS2.0，WIF

与外部STS建立信任关系，实现身份联合

基于安全标准 WS-Security；WS-Trust; WS-Federation

基于身份声明信息的认证令牌

基于声明的身份标识与安全令牌 Claim-based Identity & Security Token

使用SAML描述令牌中的声明条目 实现跨技术平台的传递

应用与令牌服务间的松耦合

令牌服务的变换，不影响应用

整合现有的认证服务 AD、LDAP、Web表单、数据库、…

企业范围内唯一的权威认证服务

安全、合规的认证过程

符合安全规范的认证结果

业务应用系统使用该权威认证服务发放的认证票据

应用系统信任权威认证服务 不受系统平台、实现技术的制约

权威认证服务根据应用的需要，组织相应的认证票据

权威认证服务能够与其他机构建立信任关系

跨安全领域的信任

感谢您参与此会场！

您的意见与建议对我们非常重要。

请您填写反馈表。

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS,

IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.