Web服務包含一組用於建立連接的應用程式和服務的規範, 其功能和介面透過
Web技術標準(例如
XML、簡單物件存取協定(SOAP)、Web服務描述語言(WSDL)、HTTP和HTTPS)向使用者公開,
使用 Web服務建立
Web應用程式的目標是簡化跨多個開發平台、技術和網路的應用程式的互通性w-studio.idv.tw
為了增強互通性, Web服務由 W3C及 OASIS定義:
。大多數 Web服務使用 XML透過 HTTP和 HTTPS傳輸資料, 透過 XML開發人員可以建立自己的客製化標籤,
從而促進應用程式和組織之間資料的定義、傳輸、驗證和解釋
。Web服務透過 SOAP協定向 Web使用者公開有用的功能, SOAP是定義訊息的 XML格式的規範, 描述有效的 XML文件的外觀
。Web服務提供了一種足夠詳細地描述其介面的方法,
以允許使用者建立用戶端應用程式來與服務進行通訊, 此描述通常在 WSDL的
XML文件中提供, 它描述一組
SOAP訊息以及如何交換這些訊息w-studio.idv.tw
。註冊 Web服務以便用戶可以透過通用描述、發現和整合(Universal Description, Discovery, and Integration, UDDI)輕鬆找到它們, UDDI目錄條目是一個 XML文件,
用於描述業務及其提供的服務
Web Service
Web服務安全規範:
Web服務規範通常稱為 WS-* 規範的元件, 但是與 ADFS環境最相關的規範是 Web服務安全性(WS-Security)規範, WS-Security 包含以下規範:
。Web服務安全性(WS-Security): SOAP訊息安全性和 X.509憑證權杖設定檔, WS-Security描述了 SOAP訊息傳遞的增強功能, 透過訊息完整性、訊息機密性和單一訊息驗證提供保護品質, WS-Security還提供了一種通用且可擴展的機制用於將安全性權杖與訊息相關聯, 此外它還提供了一種在 SOAP訊息中對二進位安全性權杖(特別是 X.509憑證和 Kerberos票證)進行編碼的機制w-studio.idv.tw
。Web服務信任(WS-Trust): WS-Trust定義了基於 WS-Security的擴充功能, 用於請求和頒發安全性權杖以及管理信任關係
。Web服務同盟(WS-Federation): WS-Federation定義了 WS-Security可用於允許跨不同信任領域進行基於屬性的身份、身份驗證和授權同盟的機制
。WS-同盟被動請求者設定檔(WS-F PRP): 此 WS-Security擴充功能描述了被動用戶端(例如 Web瀏覽器)如何從同盟伺服器取得權杖以及用戶端如何向同盟伺服器提交權杖, 此設定檔的被動請求者僅限於 HTTP或 HTTPS協定w-studio.idv.tw
。WS-同盟主動請求者設定檔: 此 WS-Security擴充功能描述如何對活動用戶端(例如基於 SOAP的行動裝置應用程式)進行身份驗證和授權以及用戶端如何在同盟場景中提交宣告
安全聲明標記式語言:
安全聲明標記式語言(SAML)是一種基於 XML的標準, 用於在身份識別提供者和服務或應用程式提供者之間交換聲明, SAML假設身分提供者已對使用者進行身份驗證並在安全性權杖中填入了適當的聲明資訊, 當身份提供者對使用者進行身份驗證時它會將 SAML聲明傳遞給服務提供者, 基於此聲明服務提供者可以在應用程式內做出授權和個人化決策, 同盟伺服器之間的通訊基於 XML文件, 該文件儲存用於權杖簽署的 X.509憑證以及 SAML 1.1或 SAML 2.0權杖
w-studio.idv.tw
以下截自維基百科: 安全斷言標記式語言
SAML規範定義了三個角色: 使用者、身份提供者(IdP)、服務提供者(SP), 在用SAML解決的使用案例中, 使用者從服務提供者那裡請求一項服務, 服務提供者請求身份提供者並從那裡並獲得一個身份聲明, 服務提供者可以基於這一聲明進行存取控制的判斷, 即決定使用者是否有權執行某些服務w-studio.idv.tw
在將身份聲明傳送給服務提供者之前, 身份提供者也可能向委託人要求一些資訊, 例如使用者名稱和密碼以驗證委託人的身份, SAML規範了三方之間的聲明, 尤其是聲明身份訊息是由身份提供者傳遞給服務提供者, 在 SAML中一個身份提供者可能提供 SAML聲明給許多服務提供者, 同樣的一個服務提供者可以依賴並信任許多獨立的身份提供者的聲明
SAML沒有規定身份提供者的身份驗證方法, 他們大多使用使用者名稱和密碼, 但也有其他驗證方式包括採用多重要素驗證, 諸如 LDAP、RADIUS和 AD等目錄服務允許使用者使用一組使用者名稱和密碼登入, 這是身份提供者使用身份驗證權杖的一個典型來源, 許多網路社群服務也提供身份驗證服務, 理論上他們也可以支援SAML交換
沒有留言:
張貼留言