身份传播是一种机制,通过它 WSRP 使用方可向 WSRP 生成方 Web 服务提供用户的身份。它是一种联合机制,用户在使用方和生成方之间联合其身份。成功联合后,使用方门户将用户身份传播给生成方门户。从使用方接收用户证书后,WSRP 生成方会验证证书,并允许或拒绝访问指定的用户上下文中的资源。
用户对于每个门户拥有两个身份。其中,一个用于生成方门户,而另一个用于使用方门户。用户使用提供的身份传播机制联合这两个身份。这就为使用方和生成方门户提供了单点登录机制。当用户通过使用方门户登录到门户时,用户获得直接登录到生成方门户时获得的内容。用户使用联合身份时所做的更改,将在用户登录到生成方门户时生效。
Sun Java System WSRP 生成方支持以下身份传播:
SSO 令牌:如果生成方门户和使用方门户均连接到同一 Access Manager 实例,那么选择它。通常建议用于生成方门户和使用方门户均部署于同一组织中的配置。
WSS 用户名令牌配置文件(仅用户名):使用 WSS 规范(用户名会作为 WS Security 标头从使用方门户传播到生成方门户)。
WSS 用户名令牌配置文件(带密码摘要):WS Security 标头发送以生成方为目标的用户 ID,并带有“摘要”格式的密码。
WSS 用户名令牌配置文件(带密码文本):WS Security 标头发送以生成方为目标的用户 ID,并带有“文本”格式的密码。
在上述列表中,最后三个选项实现 OASIS WSS 用户名令牌配置文件规范。此规范说明如何配合 Web 服务使用“用户名令牌”。WSS 规范说明 Web 服务使用方如何通过按照用户名验证请求者,以及选择性使用密码向 Web 服务生成方验证身份的方式,来提供“用户名令牌”。
许多门户供应商都支持和实现 OASIS WSS 用户名令牌配置文件规范。当需要互操作性时,请使用三个选项之一。
Portal Server 中有两级身份传播机制。首先,使用方门户的管理员发现生成方门户支持上述指定身份传播机制之一。则管理员可允许用户发送其身份。Portal Server 使用方支持所有上述提及的“身份传播机制”。
创建使用方后,管理员必须根据使用方支持的身份传播机制创建远程频道。频道在用户的“桌面”上可用之后,即准备好接受身份传播。
身份传播机制在生成方端自动设置。会先检查 Sun SSO 验证,接着是 OASIS 用户名令牌配置文件,然后是“无身份传播”模式。