使用WebLogic Serv er9.2 中的SAML 配置单点登录 BEA WebLogic Server 9.2 为安全性断言标记语言(Security Assertion Markup Language,SAML)提供了开包即用支持,可根据安全需要通过少量编码甚至不编码便可创建单点登录(SSO)解决方案。借助WebLogic Server 9.2,可在运行于可靠域内的多个在线应用程序之间添加单点登录。SAML标准定义了可靠服务器之间安全信息交换的框架。安全框架的首要功能在于提供了保障应用程序安全的配置工具和API。 本指南介绍了在运行于两个不同WebLogic 域的两个简单的Java EE Web 应用程序之间配置单点登录功能的步骤。单点登录的SAML 配置仅需要使用WebLogic Server 9.2 Administration Console,而无需编写程序。本指南还简要介绍了在单点登录过程中WebLogic 容器、安全提供程序以及安全框架之间的基本交互。 简介 SAML 标准定义了可靠服务器之间安全信息交换的框架。要了解更多背景信息,请参阅 Beth Linker 编写的SAML 简介(中文版,Dev2Dev,2006)。本指南讲述了如何在两个Web 应用程序之间设置SAML 授权,并提供了这些应用程序的源代码。 本指南描述了涉及两个Web 应用程序的简单示例;appA 部署在源(本地)站点,而appB 部署在目标(远程)站点。您将学习到如何使用WebLogic Server 9.2 Administration Console 来配置这些应用程序并参与使用SAML 实现 SSO 的过程。 源站点提供身份验证服务,并且当目标站点请求时,可使用SAML Inter-site Transfer Service (ITS)安全地传递身份验证详细信息。源站点的服务器包含 ITS servlet,这个可寻址的组件提供了SAML 处理功能,例如凭证生成及将用户重定向到目标站点的能力。 图 1 显示了SSO 过程中源站点和目标站点之间的基本交互。 图 1. 使用SAML 的单点登录过程中源站点和目标站点之间的交互 完整的处理流程如下: 1. 通过提供用户凭据,用户的浏览器就可以访问应用程序appA(源站点),该程序位于名为domainA 的WebLogic Serv er 域。 2. 应用程序appA 将用户凭据传递到身份验证服务提供者。 3. 如果身份验证成功,则建立已通过身份验证的会话;同时显示 appA 欢迎页面。 4. 用户单击该欢迎页面上的链接,就可以访问应用程序appB(目标站点)的安全 Web 页面。应用程序appB 位于另一个名为domainB 的WebLogic Serv er 域。这将触发对 Inter-Site Transfer Serv ice...
