目录

了具体的应用场景和相应的SAML消息流程图，向具体实现又迈进了一步。以上四个层次共同构成了完善的SAML框架[7]，如图3-1所示。

用况 定义框架的通常使用情况 绑定 定义请求应答消息向高层传输 协议（HTTP、SOAP）的绑定 协议 定义断言消息在认证中心间的通信规则和响应规则 断言 定义XML编码的语法和语义

图3-1 SAML框架层次结构

在隐私保护方面，由于用户认证和授权信息涉及到用户的隐私信息，SAML支持众多种隐私保护机制，包括在不泄露用户身份的情况下确定用户属性的功能。

二、 系统实体定义

首先定义本文中所使用到的实体，这些实体不仅仅在系统设计章节中使用，而且贯穿整篇文章。

用户：应用系统的使用者，由存储在认证中心的一组数据表示。每个用户隶属于一个认证个体，称为该认证中心的所属用户，对于各个应用系统，用户在不同的应用系统中有不同的权限。

应用系统：即资源，为用户提供服务，基于用户角色进行访问控制。应用系统又可称为Service Provider，简称SP。

认证中心：管理一组所属用户身份和一组所属应用系统的实体，为其所属用户提供认证和授权服务。认证中心又可称为Identity Provider，简称IdP。

第二节 系统总体架构

该系统后台数据存储采用Oracle数据库，前台以http接口方式提供用户注册，认证，信息修改等功能，方便与其它网络应用系统的对接和整合，另外在与其它用户管理系统进行数据传输时采用SAML传输协议。

为方便与其它网络应用系统的对接和整合，另提供一个Agent端，部署于其它网络应用系统处，简化和封装与统一认证系统的信息交互。 （一）系统架构

系统核心结构模块图如下图所示：

HTTP服务接口业务逻辑数据缓存DAO数据管理web端数据库

图3-2 CALIS统一认证系统核心结构图

对于以上提到的功能皆以HTTP服务接口实现，接口的定义及实现将在第4章中详细叙述。

（二）Agent架构和服务流程

对于本地应用系统也必须加以改造，以支持统一认证的认证授权信息，应用系统也可以保留本系统的认证信息、模块等等，但是必须支持和认证的Agent通讯，获取Agent所传过来的认证信息，并翻译到本地系统，进行相关授权的访问控制。

相关的示意图如下：

图3-3统一认证Agent和认证中心的关系图

Agent内部结构和工作流程为：

图3-4统一认证Agent结构图