strong>Shibboleth是Internet2/MACE項目中其中的一個，得到了IBM的技術和資金支持，是一個使用標準語言描述的體系結構和策略框架，支持安全Web資源和服務的共享，是安全斷言標記語言(Security Assertion Markup Language)的一種實現。

根據SAML V1.1技術架構文檔中描述的三個用例，Shibboleth綜合這些場景，實現了一個綜合的用例，其他應用均可以看作這個用例的子集。

Shibboleth完整工作流

Shibboleth的綜合用例，指的是用戶未通過認證，直接訪問遠程站點(不同校區的站點)。其處理過程如下：

1. 用戶未在所屬IdP認證，直接登陸遠程站點。

2. SHIRE通過地址過濾，發現用戶訪問Shibboleth保護的資源。SHIRE通過詢問SHAR，發現用戶屬性沒有被緩存，則需要對用戶進行認證/授權。SHIRE產生“瀏覽器發送配置文件”，通過與瀏覽器交互，以HTML表單的形式遞交給WAYF。

3. WAYF收到SHIRE發送的表單，通過分辨用戶所屬IdP的站點名，取得用戶所屬HS的地址。同時，生成“瀏覽器發送配置文件”并將它發送給HS。

4. 當HS收到WAYF發送的“瀏覽器發送配置文件”時，發現用戶未通過驗證，則進行以下操作。

a) 通過CA，對用戶進行認證。
b) 通知AA生成用戶屬性。

5. CA對用戶進行認證，并產生Session，以保證用戶的唯一性。

6. HS產生“瀏覽器輔助配置文件”，通過瀏覽器使用HTML表單的形式遞交給SHIRE，以供判斷用戶的實時性。

7. SHIRE詢問SHAR關于該用戶的用戶屬性。SHAR向IdP的AA發送AQM消息查詢用戶屬性。

8. AA回復ARM，SHAR取得用戶權限，傳遞給SHIRE。

9. 取得用戶權限后，則可對用戶進行進行授權：可訪問/禁止訪問。到此，完成了一次完整的用戶認證和授權。

Shibboleth的更多分析內容請看：Shibboleth：用戶認證的通道

【編輯推薦】

1. 簡化VPN身份認證
2. 簡介SMTPi的身份認證技術
3. 中國用戶對強身份認證最積極
4. 2009數據中心變化之IT身份認證
5. 分布式用戶認證為單點登錄護航 上篇
6. 確保網上銀行安全的多重身份認證方案
7. 網絡購物安全需警惕 身份認證誰說了算