基于SAML的SharePoint第三方身份認(rèn)證系統(tǒng)接入設(shè)計

鄧云飛

摘 要 Microsoft SharePoint Server 2010擁有獨立的認(rèn)證、授權(quán)管理模塊，并嚴(yán)格遵循了SAML、WS-Trust、WS-Federation等相關(guān)的工業(yè)標(biāo)準(zhǔn)。而通過Windows Identity Foundation可以將 WS-Trust、WS-Federation等協(xié)議抽象化，向開發(fā)人員呈現(xiàn)用于構(gòu)建安全令牌服務(wù)和聲明感知應(yīng)用程序的API，以SAML形式使得非工業(yè)標(biāo)準(zhǔn)的認(rèn)證系統(tǒng)為Microsoft SharePoint Server 2010提供身份認(rèn)證服務(wù)成為了可能。本文設(shè)計過程中基于SAML，討論了非工業(yè)標(biāo)準(zhǔn)化的第三方身份認(rèn)證系統(tǒng)接入Microsoft SharePoint Server 2010實現(xiàn)原理、構(gòu)建和關(guān)鍵的方法。

關(guān)鍵詞 Windows Identity Foundation Microsoft SharePoint Server 2010 SAML 安全令牌服務(wù)

中圖分類號：TP319 文獻(xiàn)標(biāo)識碼：A

1 概述

作為一個成熟的企業(yè)級業(yè)務(wù)解決方案，Microsoft SharePoint Server 2010以靈活的部署選項和豐富的管理工具，使得用戶無需編寫代碼就可以快速、便捷地設(shè)計任務(wù)表單和業(yè)務(wù)流程，幫助企業(yè)用戶拓展在內(nèi)容管理、內(nèi)外部協(xié)同和企業(yè)業(yè)務(wù)流程管理能力，并將SharePoint平臺和企業(yè)其他業(yè)務(wù)系統(tǒng)集成，使得端到端的合作更為容易，實現(xiàn)了個人、團(tuán)隊的信息整合、組織和搜索功能。其提供直觀的審批流程定義和強大的流程邏輯定義功能，結(jié)合企業(yè)組織結(jié)構(gòu)信息，定義復(fù)雜的審批、審閱流程。利用Sharepoint可以將企業(yè)的日常業(yè)務(wù)流程如人事入職、出差申請、休假申請、加班申請、費用報銷、項目立項、固定資產(chǎn)采購、公章使用等集中到SharePoint平臺統(tǒng)一部署和管理。而在實際應(yīng)用環(huán)境下，企業(yè)中存在大量的業(yè)務(wù)系統(tǒng)集，并使用統(tǒng)一身份認(rèn)證系統(tǒng)作為單點登錄的支持，Microsoft SharePoint Server 2010雖然也提供了身份認(rèn)證功能，但本身是遵循SAML、WS-Trust等相關(guān)工業(yè)標(biāo)準(zhǔn)的，而企業(yè)自身的認(rèn)證系統(tǒng)并不一定是符合行業(yè)標(biāo)準(zhǔn)，這樣導(dǎo)致企業(yè)自身的身份認(rèn)證系統(tǒng)信息不能被SharePoint所識別，使得不同系統(tǒng)間身份信息轉(zhuǎn)換變得異常復(fù)雜，這樣就存在如何將現(xiàn)有的認(rèn)證系統(tǒng)與SharePoint Server 2010進(jìn)行整合以實現(xiàn)真正意義上的單點登錄的問題。

2 SharePoint的身份驗證機制剖析

2.1 身份驗證步驟

在SharePoint Server 2010系統(tǒng)的身份驗證過程中，是按照圖1標(biāo)示的步驟進(jìn)行的：

（1）客戶端請求SharePoint Server 2010系統(tǒng)相關(guān)頁面資源；

（2）SharePoint檢查客戶端請求的身份認(rèn)證信息，若請求未通過身份驗證，則身份驗證組件將根據(jù)該區(qū)域的身份驗證設(shè)置傳送請求；

（3）驗證請求交由身份驗證組件處理。如果為給定區(qū)域配置了多個身份驗證方法，則用戶可通過身份驗證選擇頁選擇身份驗證方法。如果僅指定了一種身份驗證方法，將直接通過指定的身份驗證方法處理請求；

（4）通過身份提供程序?qū)τ脩暨M(jìn)行身份驗證；

（5）如果身份驗證成功，SharePoint 安全令牌服務(wù)（STS）將使用身份提供程序提供的信息為用戶生成基于聲明的令牌。如果配置了其他聲明提供程序，則STS會使用聲明提供程序提供的聲明來擴充用戶令牌；

（6）將基于聲明的用戶令牌發(fā)送回身份驗證組件；

（7）身份驗證組件使用基于聲明的用戶令牌將請求重定向資源地址；

（8）執(zhí)行請求管道的其余部分并將響應(yīng)發(fā)送回請求的客戶端，至此登錄與授權(quán)完成。

2.2 身份驗證模式

在SharePoint Server 2010系統(tǒng)中，提供了兩種身份驗證模式：Classic Mode Authentication和Claims Based Authentication。

（1）Classic Mode Authentication：經(jīng)典模式身份驗證。即用戶認(rèn)證和用戶身份都使用標(biāo)準(zhǔn)的Windows身份認(rèn)證機制，并且SharePoint會將用戶賬戶視為Active Directory域服務(wù)（AD DS）賬戶。在登錄過程中通過協(xié)商（NTLM/Kerberos）使用集成Windows身份驗證質(zhì)詢執(zhí)行登錄過程。由于在此模式下并不進(jìn)行聲明擴充，因此用戶登錄后，SharePoint中的一些功能（如：對服務(wù)應(yīng)用程序和自定義聲明提供程序的多用戶支持）將不起作用。

（2）Claims Based Authentication：基于聲明的身份驗證。即用戶的身份是以多個Claim（聲明）來標(biāo)識的，例如Name=User，就可被視為是一個Claim。多個Claim組合成為聲明集合（Claims）。SharePoint在執(zhí)行此模式的登錄過程中，會自動將WindowsIdentity對象轉(zhuǎn)換為ClaimsIdentity對象（一種表示基于聲明的用戶表示形式）。所有的聲明登錄認(rèn)證類型都依賴于被動登錄，是在HTTP協(xié)議中的302重定向到的單獨登錄頁中進(jìn)行的。同時此模式是基于Windows Identity Foundation構(gòu)建，可以對基于聲明的身份驗證使用任何受到支持的身份驗證方法，例如使用基于SAML的令牌中包含的聲明。基于此驗證模式還可以使用其他聲明來擴充用戶令牌，以便在SharePoint中實現(xiàn)更多自定義身份信息擴展。

但實際上SharePoint Server 2010不但實現(xiàn)了上面的兩種身份驗證模式，同時還引入了以安全聲明標(biāo)記語言（SAML）為基礎(chǔ)的基于令牌的身份驗證方法。

3 SAML

SAML的全稱是Security Assertion Markup Language（安全斷言標(biāo)記語言），它是由兩項較早的安全協(xié)議S2ML（Security Service Markup Language）和AuthXML（Authorization Markup Language）派生出的一個基于XML的標(biāo)準(zhǔn)，用于在不同的安全域，即在身份提供者（Identity Provider）和服務(wù)提供者（Service Provider）之間進(jìn)行交換、認(rèn)證以及授權(quán)數(shù)據(jù)，同時為認(rèn)證、授權(quán)、策略斷言提供標(biāo)準(zhǔn)機制，實現(xiàn)交換相關(guān)主體的安全斷言信息的目的。SAML通常被用于跨安全邊界對用戶進(jìn)行身份驗證和授權(quán)。針對不同目的，SAML提供以下幾種不同類型的安全斷言：

* 認(rèn)證斷言（Authentication Assertion）：認(rèn)證斷言用來聲稱消息發(fā)布者已經(jīng)認(rèn)證特定的主體。

* 屬性斷言（Attribute Assertion）：屬性斷言聲稱特定主體具有特定的屬性。屬性可通過URI（統(tǒng)一資源標(biāo)識）或用來定義結(jié)構(gòu)化屬性的一種擴展模式進(jìn)行詳細(xì)說明。

* 決定斷言（Decision Assertion）：一個決定斷言報告了一個具體授權(quán)請求的結(jié)果。

* 授權(quán)斷言（Authorization Assertion）：授權(quán)斷言聲稱一個主體被給予訪問一個或多個資源的特別許可。

SAML斷言以XML結(jié)構(gòu)描述且具有嵌套結(jié)構(gòu)，由此一個斷言可能包括幾個關(guān)于認(rèn)證、授權(quán)和屬性的不同內(nèi)在斷言（包括認(rèn)證聲明的斷言僅僅描述那些先前發(fā)生的認(rèn)證行為）。

3.1 SAML安全令牌

令牌是陳述有關(guān)標(biāo)識的信息的一組字節(jié)。這些信息包含一個或多個聲明，每個聲明都包含有關(guān)應(yīng)用此令牌的使用者的一些信息。令牌中的聲明通常包含提供令牌的用戶的姓名等信息，還包含許多類型的其他信息。其存儲可包含在Active Directory域服務(wù)、SQL Server數(shù)據(jù)庫或LDAP中。

安全斷言標(biāo)記語言（SAML）令牌是聲明的XML表示形式。SAML令牌包含由一個實體所生成的關(guān)于另一實體的多組聲明的語句。例如，在聯(lián)合安全方案中，語句是由安全令牌服務(wù)針對系統(tǒng)中的某一用戶所生成的。安全令牌服務(wù)將對SAML令牌進(jìn)行簽名，以指示令牌中所包含語句的真實性，這就向依賴方證明了SAML令牌實際上是頒發(fā)給該用戶的。

從客戶端請求獲得SAML令牌到服務(wù)器返回結(jié)果，主要經(jīng)歷如下4個階段：

（1）客戶端向安全令牌服務(wù)請求 SAML 令牌，并通過使用證書（例如X509）對該安全令牌服務(wù)進(jìn)行身份驗證

（2）安全令牌服務(wù)向客戶端頒發(fā)SAML令牌。SAML令牌使用與安全令牌服務(wù)關(guān)聯(lián)的證書進(jìn)行簽名，并包含針對目標(biāo)服務(wù)所加密的校驗密鑰

（3）客戶端還將接收校驗密鑰的副本，然后將SAML令牌提交到應(yīng)用程序服務(wù)（依賴方）并使用該校驗密鑰對消息進(jìn)行簽名

（4）依賴方可通過SAML令牌上的簽名了解到，該令牌是由安全令牌服務(wù)頒發(fā)的；依賴方還可通過使用校驗密鑰創(chuàng)建的消息簽名了解到，該令牌是頒發(fā)給客戶端的

當(dāng)Web應(yīng)用程序的登錄配置為接受來自受信任登錄提供程序的令牌時，這種類型的登錄稱為SAML被動登錄。受信任登錄提供程序是SharePoint信任的外部（即SharePoint的外部）安全令牌服務(wù)（STS）。在SAML被動登錄過程中，客戶端將被重定向到指定的聲明提供程序。當(dāng)該聲明提供程序?qū)τ脩暨M(jìn)行身份驗證后，SharePoint將獲得聲明提供程序提供的SAML令牌，處理SAML令牌，然后擴充聲明。對于基于SAML的聲明提供程序，使用SAML被動登錄模式進(jìn)行登錄是唯一受支持的方式。

通過以上步驟，我們可以清楚了解到，安全令牌服務(wù)是作為SharePoint登錄驗證的重要組件存在于整個流程中，并且可以通過互信方式，使得SharePoint可以信任其他符合工業(yè)標(biāo)準(zhǔn)的安全令牌服務(wù)程序。SAML安全令牌服務(wù)作為SharePoint與第三方認(rèn)證系統(tǒng)的中間橋梁，成為整個認(rèn)證系統(tǒng)中設(shè)計的關(guān)鍵。

3.2 SAML安全令牌服務(wù)

安全令牌服務(wù)（Security Token Service，STS）是用于根據(jù)WS-Trust和WS-Federation協(xié)議構(gòu)建、簽署和頒發(fā)安全令牌的Web服務(wù)組件。使用安全令牌服務(wù)的Web應(yīng)用程序用以處理安全令牌的頒發(fā)、管理以及驗證請求。安全令牌由標(biāo)識聲明（如用戶的名稱、角色或匿名標(biāo)識符）的集合組成。安全令牌可以通過多種形式頒發(fā)給客戶端，例如以安全聲明標(biāo)記語言（SAML）令牌形式頒發(fā)。通常情況下為了保證傳輸?shù)陌踩裕梢杂肵.509證書保護(hù)安全令牌內(nèi)容在傳輸過程中的安全并啟用對可信頒發(fā)者的驗證。

安全令牌服務(wù)分為兩種：標(biāo)識提供方STS（IP-STS）和信賴方STS（RP-STS），其中IP-STS 使用Windows集成身份驗證等機制對客戶端進(jìn)行身份驗證。它會根據(jù)客戶端提供的聲明來創(chuàng)建SAML令牌，并且可以添加自己的聲明。信賴方應(yīng)用程序（RP）會接收SAML令牌，并使用令牌內(nèi)部的聲明來決定是否向客戶端授予所請求資源的訪問權(quán)限。RP-STS不對客戶端進(jìn)行身份驗證，而是依賴信任的IP-STS提供的SAML令牌。通常情況下IP-STS位于客戶端所在的域中，而RP-STS位于RP所在的域中，下圖顯示了這種情況。

如果第三方認(rèn)證系統(tǒng)或者自己的包含IP-STS的環(huán)境需要實現(xiàn)基于SAML令牌的身份驗證，那么就需要IP-STS與合作伙伴STS之間建立信任關(guān)系。

在SharePoint中IP-STS是一種處理可信標(biāo)識聲明請求的Web服務(wù)，其使用一種被稱為標(biāo)識存儲區(qū)的數(shù)據(jù)庫來存儲和管理標(biāo)識及其關(guān)聯(lián)屬性。標(biāo)識提供程序的標(biāo)識存儲區(qū)可以是簡單的存儲區(qū)，例如SQL數(shù)據(jù)庫表。也可以是復(fù)雜的標(biāo)識存儲區(qū)，如Active Directory 域服務(wù)（AD DS）或Active Directory輕型目錄服務(wù)（AD LDS）。IP-STS通常被用于想要創(chuàng)建和管理標(biāo)識的客戶，以及必須驗證客戶向其提供的標(biāo)識的信賴方應(yīng)用程序。實際中每個IP-STS都與信賴方的STS Web應(yīng)用程序（每個都稱為RP-STS）之間存在信任關(guān)系，并向這些STS Web應(yīng)用程序頒發(fā)令牌。客戶的請求包含在IP-STS中安全令牌時，將會與IP-STS發(fā)生交互。驗證成功后，IP-STS會頒發(fā)一個可信安全令牌，客戶可將該令牌提供給信賴方應(yīng)用程序。信賴方應(yīng)用程序可與IP-STS建立信任關(guān)系，從而使這些應(yīng)用程序可以驗證IP-STS頒發(fā)的安全令牌。建立信任關(guān)系后，信賴方應(yīng)用程序可以檢查客戶提供的安全令牌，并決定令牌包含的標(biāo)識聲明的有效性。

信賴方STS（RP-STS）是接收來自可信聯(lián)盟合作伙伴IP-STS的安全令牌的STS。RP-STS反過來又頒發(fā)新的安全令牌供本地信賴方應(yīng)用程序使用。通過將RP-STS Web應(yīng)用程序與IP-STS Web應(yīng)用程序聯(lián)合使用，向用戶提供單點登錄。

用于實現(xiàn)基于SAML令牌的提供程序的體系結(jié)構(gòu)需要包含以下組件：

* 安全令牌服務(wù)，該服務(wù)將創(chuàng)建由服務(wù)器場使用的 SAML 令牌。

* 令牌簽名證書（Import Trust Certificate），這是從IP-STS導(dǎo)出的證書。該證書將復(fù)制到服務(wù)器場中的一臺服務(wù)器上。

* 標(biāo)識聲明，標(biāo)識聲明是來自SAML令牌的聲明，它是用戶的唯一標(biāo)識符。只有IP-STS的所有者知道令牌中的哪個值對每個用戶始終是唯一的。

* 其他聲明，這些聲明由來自SAML票證、用于描述用戶的其他聲明組成。其中可能包括用戶角色、用戶組或其他種類的聲明（如年齡）。

* 領(lǐng)域，在SharePoint聲明體系結(jié)構(gòu)中，與配置為使用基于SAML令牌的提供程序的 SharePoint Web應(yīng)用程序關(guān)聯(lián)的URI或URL代表領(lǐng)域。

* 信賴方安全令牌服務(wù)（RP-STS）。

* 標(biāo)識提供程序安全令牌服務(wù)（IP-STS）。

4 接入設(shè)計集成

由于基于聲明的身份驗證基于Windows Identity Foundation（WIF）而構(gòu)建，而Windows Identity Foundation （WIF）是一種用于快速搭建支持聲明認(rèn)證方式和SAML安全令牌服務(wù)的框架，其核心功能之一是創(chuàng)建和讀取SAML安全令牌，并能夠自動分析第三方認(rèn)證系統(tǒng)生成的繼承于IIdentity和Iprincipal接口的對象，并自動將其包裝為SAML令牌進(jìn)行傳輸，所以第三方認(rèn)證系統(tǒng)必須能夠生成符合標(biāo)準(zhǔn)的IIdentity和Iprincipal接口對象，并能夠在聲明感知應(yīng)用程序和STS之間建立信任關(guān)系，使得第三方認(rèn)證系統(tǒng)順利接入SharePoint Server 2010。

由于SharePoint Server 2010是基于Microsoft .Net Framework 3.5構(gòu)建的，因此可以使用Visual Studio 2010建立基于WIF的STS站點。在建立站點的過程中WIF在Visual Studio 2010中創(chuàng)建STS站點時，會自動創(chuàng)建與STS站點同名的X.509證書。由于此證書不是任何受信任的證書發(fā)行機構(gòu)頒布的，不能直接讓STS與SharePoint Server 2010之間建立信任關(guān)系，因此必須將此證書和證書鏈添加到SharePoint Server 2010所在服務(wù)器中受信任的根證書頒發(fā)機構(gòu)中。然后再將證書導(dǎo)出為DER編碼二進(jìn)制X.509證書，并將導(dǎo)出的證書通過SharePoint Server 2010系統(tǒng)管理中心的“管理信任”功能上傳，這樣才能建立STS與SharePoint的信任關(guān)系。

在建立信任關(guān)系后，還需要考慮實現(xiàn)以下過程：

（1）定義將用作用戶的唯一標(biāo)識符的聲明。應(yīng)與 IP-STS 的管理員協(xié)商確定正確的標(biāo)識符，因為只有IP-STS的所有者知道令牌中的哪個值對每個用戶始終是唯一的。確定用戶的唯一標(biāo)識符是聲明映射過程的一部分。

（2）使用Windows PowerShell創(chuàng)建新身份驗證提供程序以導(dǎo)入令牌簽名證書。該過程將創(chuàng)建SPTrustedIdentityTokenIssuer，完成后還需要創(chuàng)建和指定與基于SAML令牌的身份驗證配置的第一個SharePoint Web應(yīng)用程序關(guān)聯(lián)的領(lǐng)域。

（3）在SPTrustedIdentityTokenIssuer的每個領(lǐng)域中，必須在IP-STS上為其分別創(chuàng)建一個RP-STS條目。

（4）由于SAML STS站點只是負(fù)責(zé)頒發(fā)安全令牌的機構(gòu)，并不對用戶的身份認(rèn)證機構(gòu)，這要由認(rèn)證工作交由第三方認(rèn)證系統(tǒng)完成。在STS站點中的Web.Config文件中增加第三方認(rèn)證系統(tǒng)的HttpModule，這樣在SharePoint請求STS站點時，會將請求重定向到認(rèn)證系統(tǒng)進(jìn)行用戶身份的驗證工作。完成驗證后，STS站點會自動識別第三方身份認(rèn)證系統(tǒng)生成的IIdentity和Iprincipal接口對象，并將其自動包裝為SAML安全令牌傳輸至SharePoint，完成單點登錄，最終完成第三方系統(tǒng)通過SAML STS接入SharePoint Server 2010。

整個登錄流程的UML時序圖如下：

（1）用戶請求SharePoint Server 2010系統(tǒng)的資源頁面。

（2）SharePoint Server 2010判定該請求沒有被有效認(rèn)證，同時通知瀏覽器重新定向到SAML STS站點請求SAML安全令牌。

（3）請求SAML STS驗證頁面獲取安全令牌。

（4）SAML STS作為第三方認(rèn)證系統(tǒng)的Client，在經(jīng)過第三方認(rèn)證系統(tǒng)的驗證后才能訪問STS。SAML STS站點下Web.Config所配置的httpModules攔截了該未經(jīng)認(rèn)證的請求，并把請求重新定向到第三方認(rèn)證系統(tǒng)的登錄頁面。

（5）請求第三方認(rèn)證系統(tǒng)站點。用戶在登錄頁面提交用戶名和密碼。

（6）第三方認(rèn)證系統(tǒng)驗證提交的用戶名和密碼。

（7）認(rèn)證成功后向瀏覽器發(fā)出Pass Port Server Cookie并重定向至SAML STS站點。

（8）使用帶有Token的參數(shù)地址請求SAML STS站點。第三方認(rèn)證系統(tǒng)的AuthenticationModule此時認(rèn)證token值合法后放行。

（9）SAML STS識別IIdentity和Iprincipal接口對象，并封裝為SAML安全令牌，同時向瀏覽器發(fā)出STS security tokens和STS Cookie并重定向到SharePoint站點。

（10）瀏覽器帶著STS security tokens向門戶站點發(fā)出請求。SharePoint站點下的Web.config中的WSFederationAuthenticationModule驗證STS security tokens的有效性。

（11）為了后續(xù)的請求不再需要帶上STS security tokens，SharePoint向客戶端發(fā)出FedAuth Cookie，使登錄狀態(tài)信息實現(xiàn)持久化。

5 結(jié)論

SAML是一個完全開放的標(biāo)準(zhǔn)，結(jié)合SAML進(jìn)行SharePoint的單點登錄，能夠更為安全和具有互操作性。所以說，借助現(xiàn)有的商業(yè)或者開源產(chǎn)品，在SharePoint Server 2010系統(tǒng)中實現(xiàn)基于SAML的身份認(rèn)證系統(tǒng)接入集成還是非常容易實現(xiàn)的，并且可以滿足日常安全需求，同時這種技術(shù)基于標(biāo)準(zhǔn)的機制，易于維護(hù)和擴展，也易于實現(xiàn)不同域之間的互操作。通過本例的實現(xiàn)，使得企業(yè)在通過SharePoint集成業(yè)務(wù)系統(tǒng)時的單點登錄難題得以解決，大大降低了企業(yè)業(yè)務(wù)系統(tǒng)集成成本。