跨校统一身份认证idp和sp安装开发指南v1.2.docVIP

跨校身份认证 IDP和SP安装开发指南 金智教育信息技术有限公司 2011年7月 目 录 1. 架构方案和系统组成 3 2. 基础技术平台Shibboleth 3 2.1. Shibboleth简介 3 2.1.1. Shibboleth的组成 4 2.1.2. Shibboleth的特点 4 2.1.3. Shibboleth在本项目中的作用 5 2.2. 系统组成 5 2.2.1. 跨校身份认证中心 5 2.2.2. 跨校身份认证组件 5 3. 组件安装 6 3.1. IDP安装配置 6 3.1.1. Web容器配置 6 3.1.2. 安装IdP组件 7 3.1.3. IDP服务的启停 8 3.1.4. 配置认证方式 8 3.1.5. 配置IdP认证支持的SP 11 3.1.6. IDP属性获取方式配置 11 3.1.7. IDP属性安全配置 12 3.1.8. 注册IDP 14 3.2. SP安装配置指南 14 3.2.1. 基础组件安装 14 3.2.2. 配置Apache 15 3.2.3. 配置SP保护路径 16 3.2.4. 配置此SP使用DS 17 3.2.5. 配置此SP支持的IdP认证（必须！关键！） 17 3.2.6. 配置SP需要的属性 18 3.2.7. 安装完成，重启shibd服务和httpd 19 3.2.8. 注册SP 19 3.2.9. 反向代理集成应用 19 3.2.10. 登出SP 19 4. 开发接口 21 4.1. IDP Server身份认证接口 21 4.2. IDP Server属性获取接口 22 4.3. SP属性获取接口 23 架构方案和系统组成 下图为跨校身份认证逻辑图： 基础技术平台Shibboleth Shibboleth简介 Shibboleth是Intemet2／MACE项目中的一个，得到了IBM的技术和资金支持。Shibboleth是一个使用标准语言描述的体系结构和策略框架，支持安全Web资源和服务的共享。 Shibboleth主要针对校园环境中对分布式资源访问有效访问问题。Shibboleth与其它系统的区别在于Shibboleth将认证模块放在用户端，资源提供者只需进行很少的验证工作，这样极大地减轻了资源提供者的负担，同时简化了访问程序，提高了访问资源的效率，安全性也得到了保证。在系统扩展方面，Shibboleth采用了SAML规范，同时也在SAML上作了一些改进，这样保证了系统的可扩展性。 Shibboleth的组成 Shibboleth主要由三个部分组成： （1） Identity Provider： 身份提供端。主要作用是向资源提供者提供用户的属性，以便使资源服务器根据其属性对其操作进行判决响应。 （2） Service Provider ： 资源／服务提供端，主要作用是响应用户的资源请求，并向该用户所在的IDP查询用户的属性，然后根据属性作出允许或拒绝访问资源的决策。 （3） WAYF： Where Are You From的首字母简称。WAYF组件知道每一个IDP端句柄服务器的名称和位置。其主要功能是将IDP端站点名称映射到HS信息上。WAYF的另一个作用是为用户查询HS并将句柄发送给SHIRE。WAYF通过与用户打交道，询问“你从哪来”，用户选择所属组织，WAYF便在用户组织的名称与HS的URL之间进行映射。 Shibboleth的特点 将Shibboleth系统与其他类似比较，Shibboleth的特点主要表现在： （1） 极好的隐私必威体育官网网址性。在用户访问在资源的整个过程中。标识用户身份的是一个不透明的句柄，这样除了AA和HS之外的任何实体都不能获得用户的个人信息。 （2） 使用基于标准的标记语言SAML。Shibboleth访问资源的方式和SAML规范很相似。在Shibboleth中AQM、ARM等消息格式都是参照SAML规范指定的。 （3） 充分解决了单点登录(Single—Sign On，sso)问题。SAML规范主要是针对SSO问题，而Shibboleth参照了SAML规范，极好地解决了SSO问题。 （4） 用户访问资源是一种Pull模式。用户访问资源时，并不是一次将所有的信息全部暴露出来，而是在需要的时候部分暴露。 Shibboleth在本项目中的作用 （1） 本项目将基于Shibboleth的框架进行开发，根据用户的实际需求对Shibboleth进行改造。 （2） Shibboleth构成跨域统一身份认证系统的核心部分，包括IdP、SP和WAYF组成的整个跨域统一身份认证系统的架构。 （3） 通过将Shibboleth的IdP组件与各个学校的统一身份认证系统集成，将身份数据的管理和身份凭据的认证交给各