美国服务器_北海网站建设_优惠

小七 2019年10月25日 21:23 141 0

场景概述

在云端运行的现代商业应用程序通常由许多独立（微型）服务组成。这种架构风格使他们能够快速响应市场条件。然而，这种高度分布式的系统也会带来成本，例如，由于其增加的通信开销和额外的操作复杂性。通常，智能物联，这些服务不会部署在单个系统环境中。它们分布在不同的地区、地理位置（例如出于可用性和性能原因），甚至是云。在这样一个拥有来自不同供应商的多个平台的多云环境中，互操作性和标准成为设计解决方案时需要考虑的一个重要方面。从端到端的角度来看，解决方案的安全性尤其如此。

这意味着什么？让我们从一个简化的业务应用程序场景开始，该场景由一个前端组件组成，该组件为通过web浏览器访问的最终用户提供web页面。前端还协调在后端实现核心业务逻辑的服务调用。这些后端服务可以与前端组件共同托管，但也可以在不同的云平台上运行。通过在登录表单中输入用户的凭据，在前端对用户进行身份验证，或者前端可以将此任务委托给第三方（也称为身份提供商（IdP）），从而为用户提供单点登录（SSO）体验。IdP可以是由云提供商管理的中心用户目录、您自己的（公司）用户商店，甚至是"社交"IdP，如LinkedIn或Facebook。在所有情况下，用户都会在前端进行身份验证，然后前端会持有一个有效的会话。当前端调用后端服务时，该服务通常要求用户在访问后端中的任何数据之前进行身份验证。经过身份验证的用户（或"主体"）是在后端强制执行任何授权规则的先决条件。但是，从安全性和用户体验的角度来看，在后端再次询问用户的凭据将是一个坏主意。相反，怎么做淘客，前端应该安全地将主体转发或传播到后端，以提供安全和无缝的体验。要使此场景正常工作，需要考虑以下几点：

对于对后端服务的调用，已验证的用户必须由前端"序列化"，智能工厂解决方案，这样后端就可以处理它并从序列化主体验证用户，而无需再次向用户请求任何凭据。主体被转换成"安全令牌"，它应该遵循标准格式。当解决方案的组件部署在不同的平台和云上时，这确保了它们之间的互操作性交换高度安全敏感的信息（如经过身份验证的用户）需要保护安全令牌，以防未经授权的访问和修改。解决方案体系结构的底层安全层必须确保机密性和完整性。交换主体的组件必须相互信任。后端服务只能接受前端发送的主体信息。因此，解决方案的管理员必须建立信任关系，学习大数据，通常通过交换标识组件的数字证书

互操作性和标准

跨不同平台和云安全地传播主体，通信协议和安全令牌格式级别的互操作性是解决方案安全体系结构的关键。rfc7522中描述了一个处理主体传播的这种场景的中心标准，它是oauth2.0客户端身份验证和授权授予的安全断言标记语言（SAML）2.0概要文件。OAuth2.0框架的这个扩展将SAML2.0标准中的可互操作和成熟的安全令牌格式与OAuth2.0中的简单请求/响应协议结合起来。本质上，它描述了访问OAuth保护的资源（后端服务）的客户机（在本场景中是web应用程序前端）如何通过将有效的SAML断言作为授权授予来从OAuth授权服务器获取OAuth访问令牌。在此过程中，用户无需在授权服务器上批准令牌颁发。OAuth2.0框架的其他授权（如授权代码）要求用户的显式权限，以允许客户端应用程序代表用户访问资源。由于我们希望避免任何形式的用户行为，例如请求凭据或用户同意，RFC 7522是此方案的理想候选方案。

详细方案演练

让我们仔细看看RFC 7522在一个具体的多云方案中的作用，该方案是一个在Microsoft Azure中将前端部署为应用程序服务的web应用程序。数据由运行在SAP云平台的Cloud Foundry环境中的后端服务进行管理，如下图1所示。

图1：多云场景

用户在前端进行身份验证并在后端访问其数据的端到端过程，对登录用户执行授权检查，该过程遵循以下步骤：

与SAML断言的条件元素关联的正确受众。它定义了断言在哪些安全条件下有效，例如过期前的最早和最晚时间，谁可以使用断言等。访问群体必须匹配SCP子帐户中XSUAA服务实例的SAML服务提供程序（SP）值（或EntityID）。与SAML断言的Subject元素关联的正确收件人。它在IDP（Azure AD）和SP（XSUAA）之间唯一地标识发布断言的主体或用户，定义用户标识符的格式（例如电子邮件地址）。收件人必须与接收断言的XSUAA服务实例终结点（URL）匹配。可信IDP的有效签名。IDP（azuread）签署SAML断言，以向SP（XSUAA）证明只有它才能发出断言。此外，签名还确保了断言的完整性。在公共互联网上传输的断言数据的任何更改，无论是有意还是无意，都将立即使签名无效。为了正确配置上述值，前端应用程序请求在azuread中注册的第二个应用程序的SAML断言，该应用程序表示SCP子帐户。此应用程序是从Azure AD SaaS应用程序库创建的，什么是物联网应用技术，作为"SAP云平台"类型的企业应用程序，允许为SAML配置SSO设置。当azuread生成SAML断言以响应OBO流请求时，就会采用这些设置。下面讨论应用程序注册和配置的详细信息。

下一节显示Azure和SCP中设置场景的详细配置步骤。

场景设置

场景的配置是按照以下步骤完成的：

与Postman的最终测试将验证端到端流程是否工作。

请确保您的本地环境满足以下前提条件：

下载并安装Cloud Foundry CLI下载并安装Maven的最新版本下载并安装Java Development Kit（JDK）版本8或更高版本

在SCP中成功部署后端服务后，必须配置服务的角色和角色集合设置。角色集合稍后在安装过程中用于将权限分配给传播的主体。

以下步骤在Azure AD中注册两个应用程序：

本文地址： /ziyuan/27084.html