YD_T 2094.4-2010安全断言标记语言 第4部分：认证上下文.pdf

ICS 33.040.40M 32YD中华人民共和国通信行业标准YD/T 2094.4-2010安全断言标记语言第4部分：认证上下文Security assertion markup ianguagePart 4:authentication context2010-12-29 发布2011-01-01实施中华人民共和国工业和信息化部发布 YD/T 2094.4-2010目次前言·范围·12规范性引用文件.3术语、定义和缩略语3.1术语和定义·3.2缩略语·4SAML 认证上下文·5认证上下文概念认证上下文断言66.1概述·6.2数据模型6.3扩展性·6.4处理规则6.5模式定义 认证上下文类型7.1概述7.2认证上下文类型的优势7.3处理规则·7.4可扩展性··7.5模式定义附录 A（资料性附录）认证上下文类型 XML 模式定义·附录 B（资料性附录）SSL 的使用98 YD/T 2094.4-2010模式本身被进一步限制，他们的类型定义在其他的模式中充当基础类型（由一些团体希望有一个更严谨定义的认证上下文类型而定义的）。为防止逻辑上产生矛盾，任何这种模式的扩展仅可以进一步约束类型模式的类型定义。为加强这一限制，认证上下文类型模式定义中规定Schema元素中属性finalDefault-extension，以防止此类引用源。7.5模式定义7.5.1概述在下面几小节中列出了有关认证上下文类型。这些类型按字母顺序列出，这些类型的排列顺序没有任何其他含义。执行者可以根据本部分给出的一致性指南来选择支持哪一个类型。这些类型由 URI唯-标识，URI 的初始头规定如下：urn:oasis:names:tc:SAML:2.0:ac:classes类型模式定义为基础认证上下文“类型模式的有限子集。据称，相对于一个给定的认证上下文类型模式而确定的 XML 实例符合该认证上下文类型。由于类型模式输入类型模式命名空间并在该空间中重定义了元素和类型，Class-Conforming 认证上下文断言不会同时对基础认证上下文模式进行证实。7.5.2互联网协议URI: urn:oasis:names:tc:SAML:2.O:ac:classes:InternetProtocol该URI也用作附录A中相应认证上下文类型模式的目标命名空间。当主体仅使用提供的IP地址通过认证时，互联网协议类型可用。?xml version=1.0 encoding-UTF-8?xs:schematargetNamespace-urn:oasis:names:tc:SAML:2.0:ac:classes:InternetProtocolxmlns:xs-/2001/XMLSchemaxmlns-urn:oasis:names:tc:SAML:2.0:ac:classes:InternetProtocolfinalDefault-extensionblockDefault-substitutionversion-2.0xs:redefine schemaLocation--saml-schema-authn-context-types-2.0.xsdxs:annotationxs:documentation类型标识符： urn:oasis:names:tc:SAML:2.0:ac:classes:InternetProtocol文档标识符：saml-schema-authn-context-ip-2.0位置: /security/saml/v2.0/修订历史：V2.0（2005年3月），用于SAMLV2.0的新认证上下文类别模式定义。/xs:documentation8 YD/T 2094.4-2010附 录 B(资料性附录)SSL 的使用在一些 SAML的执行中可能支持额外使用SSL3.0或者用SSL3.0代替TLS1.0。使用SSL:3.0的执行应确保执行的总体安全性与在TLS中使用密码的限制保持一致，例如使用密码组TLS_RSA_WITH_3DES_EDE_CBC_SHA的需求翻译成使用 SSL_RSA_WITH_3DES_EDE_CBC_SHA密码组。SSL 使能的 FIPS 执行使用 FIPS 密码组代替 SSL SSL_RSA_WITH_3DES_EDE_CBC_SHA 密码组。支持 TLS_RSA_WITH_3DES_EDE_CBC_SHA 密码组的 SAML 中的 Web SSO 配置的 TLS 执行将使用 SSL_RSA_WITH_3DES_EDE_CBC_SHA 密码组。98 YD/T 2094.4-2010中华人民共和国通信行业标准安全断言标记语言第4部分：认证上下文YD/T 2094.4-2010*人民邮电出版社出版发行北京市崇文区夕照寺街1