說明:“考點拾遺”系列基于日常為學員和網友做的答疑整理,主要涉及教材中沒有完全覆寫到的知識點。
一、聯邦成員:
提供身份驗證服務的IdP和使用這些服務的RP被稱為聯邦成員。
IdP(Identity Provider,身份提供商):
管理訂戶(subscriber)的主要身份驗證憑據,并釋出從這些憑據派生的斷言的一方,也叫做CSP(credential service providers,憑據服務提供商)。
RP (Relying Party,依賴方):
依賴于IdP對訂戶身份的斷言,為訂戶提供業務服務的一方,也叫做SP(service provider,服務提供商)
從IdP的角度來看,聯邦由它所服務的RPs組成。
從RP的角度來看,聯邦由它所使用IdPs組成。
二、聯邦模型:
根據NIST SP 800-63c,聯邦成員建立關系的模型有4種:手動注冊(Manual Registration)、動态注冊(Dynamic Registration)、聯邦權威(Federation Authorities)、代理式聯邦(Proxied Federation)。
1、手動注冊(Manual Registration)
在手動注冊模式中,IdP和RP手動配置希望互操作的各方的配置資訊。
如下圖,手動注冊包括三個步驟:
- RP的系統管理者與IdP的系統管理者共享RP的屬性,後者将這些屬性與RP相關聯。
- IdP的系統管理者與RP的系統管理者共享IdP的屬性,RP的系統管理者将這些屬性與IdP相關聯。
- IdP和RP使用标準的聯邦協定進行通信。
2、動态注冊(Dynamic Registration)
動态注冊模型中的各方通常事先并不了解彼此,聯邦成員之間的關系可以在事務處理時進行協商。
如下圖,動态注冊包括以下步驟:
- 發現。RP到IdP的一個衆所周知的位置去尋找IdP的中繼資料。
- 驗證。RP和IdP确定彼此的有效性。這可以通過鍵入資訊、中繼資料、軟體聲明或其他方式來實作。
- 注冊RP屬性。RP将其屬性發送給IdP,IdP将這些屬性與RP相關聯。
- 聯邦協定。IdP和RP使用标準的聯邦協定進行通信。
3、聯邦權威(Federation Authorities)
聯邦成員遵從被稱為聯邦權威(Federation Authorities)的機構來幫助做出聯邦決定并建立各方之間的工作關系。在該模型中,聯邦權威通常對聯邦中的每一方進行某種級别的審查(vetting),以驗證是否符合預定的安全性和完整性标準。
聯邦權威可以協助成員之間的技術連接配接和配置過程,例如公布IdPs的配置資料,或釋出RP的軟體聲明。
4、代理式聯邦(Proxied Federation)
在代理式聯邦模型中,IdP和RP之間的通信是以阻止雙方直接通信的方式進行的。有多種方法可以達到這種效果。常見配置包括:
- 充當聯邦代理(proxy,也作broker)的第三方,
- 分發通信的節點網絡
- 聯邦代理可以通過提供一個通用的內建接口來簡化RP和IdP之間的技術內建;
- 代理有效地使RP和IdP彼此不可見,在某種程度上提供了商業保密性,當聯邦成員希望保護訂戶清單,不受彼此影響的情況下,代理模型是理想的選擇;
- 類似的,代理還可以減輕隐私風險。