来自于:http://www.projectliberty.org/resources/presentations/Liberty_Membership_Info_Sep04.pdf
http://www.projectliberty.org/resources/tutorial_draft.pdf
现状
Identity 身份标识 是数字世界里最基本的元素了,凡是使用计算机系统的地方都有身份标识,如登录Window密码,上网密码 等等。尤其在Internet上,我们需要记得大量的用户和密码,不同的网站用得是不同的用户名和密码,注册、认证、登录 这几个步骤不知道要重复多少次,能不能只用一个帐号就访问到所有的网络,或者登录一次就可以了,不要每个网站都登录一遍?
Microsoft 的.net passport就能够这样,比如将Windows帐号和MSN帐号连接起来,这样登录了Windows就登录了MSN,登录MSN,就可以直接访问Hotmail等其他服务了,这样一个过程就是单点登录(Single Sign On)和联盟登录。不过可惜的是,.net passport是不开放的。
Liberty Alliance 就是致力于实现这种开放标准的组织,目前几乎所有的著名大公司都是这个组织的成员。http://www.projectliberty.org/membership/current_members.php 。
概念
联盟(Federation): 两个以上的实体或者服务之间建立联系。比如两个公司建立联盟,银行和B2B网站建立联盟,银行提供买家的身份认证,B2B提供服务,用户只要在银行登录后就可以享受B2B服务。
凭证(Principal):用来标识用户。相当与Identity。
IdP (Identity Provider):用来提供用户信息的提供商,比如上面提到的银行,提供用户信息。一般来说,一个联盟中至少有一个用来提供用户信息的服务商。
SP( Service Provider):服务提供商,用来提供服务。当用户访问服务时,SP 通过 IdP 来验证该用户。
单点登录(Single Sign On,简称SSO):当用户通过了IdP 验证后,整个联盟就可以共享该用户。
信任圈(Circle Of Trust):当若干个SP和IdP建立了联盟之后,他们之间就构成了一个信任圈。
Liberty’s Architecture
Liberty 标准主要是建立在现有标准之上,如 SAML (Security Assertion Markup Language) ,SOAP,WS-Security, XML, etc
架构分为三个部分:
(1)Identity Federation Framework (ID-FF):提供一些基本特性供联盟使用。如身份连接(把两个不同的帐号连接起来,提供互相验证),单点登录,单一Session管理。
(2)Liberty Identity Web Services Framework (ID-WSF):提供基于Web Service的框架。Provides the framework for building interoperable identity services, permission based attribute sharing, identity service description and discovery, and the associated security profilesLiberty。
(3)Liberty Identity Services Interface Specifications (ID-SIS):Enables interoperable identity services such as personal identity profile service, contact book service, geo-location service, presence service and so on.
图: