隨著技術(shù)的發(fā)展，越來(lái)越多的大學(xué)、公司以及政府機(jī)構(gòu)都通過(guò)網(wǎng)絡(luò)對(duì)外提供資源、服務(wù)，并且彼此協(xié)作日益緊密、信息共享日益頻繁。例如，大學(xué)之間的“跨校選課”、“共享圖書(shū)資源”等。因此簡(jiǎn)化這些業(yè)務(wù)中身份的流程，同時(shí)做到安全高效成為迫切需要解決的問(wèn)題。

　　1 Shibboleth簡(jiǎn)介

　　Shibboleth是一個(gè)針對(duì)SSO的開(kāi)源項(xiàng)目。Shibboleth項(xiàng)目主要應(yīng)用在校園內(nèi)Web資源共享，以及校園間的應(yīng)用系統(tǒng)的用戶(hù)身份聯(lián)合。

　　Shibboleth主要針對(duì)分布式資源如何有效訪(fǎng)問(wèn)的問(wèn)題。與其他系統(tǒng)的區(qū)別在于Shibboleth將模塊放在客戶(hù)端，資源提供者只需進(jìn)行少量的驗(yàn)證工作，極大地減輕了資源提供者的負(fù)擔(dān)，簡(jiǎn)化了訪(fǎng)問(wèn)程序、提高了訪(fǎng)問(wèn)資源的效率、安全性得到了保證。在系統(tǒng)擴(kuò)展方面，Shibboleth采用了SAML規(guī)范，同時(shí)也在SAML上作了改進(jìn)，保證了系統(tǒng)的可擴(kuò)展性。

　　Shibboleth主要由3個(gè)部分組成：

　　(1)Origin

　　對(duì)應(yīng)Identity Provider(IdP)，身份提供端。主要作用是向資源提供者提供用戶(hù)的屬性，以便使資源服務(wù)器根據(jù)其屬性對(duì)操作進(jìn)行判決響應(yīng)。

　　(2)Target

　　對(duì)應(yīng)Resource/Service Provider，資源/服務(wù)提供端。主要作用是響應(yīng)用戶(hù)的資源請(qǐng)求，并向該用戶(hù)所在的Origin查詢(xún)用戶(hù)的屬性，然后根據(jù)屬性做出允許或拒絕訪(fǎng)問(wèn)資源的決策。

　　(3)WAYF

　　WAYF是Where Are You From的首字母簡(jiǎn)稱(chēng)。SHIRE使用WAYF來(lái)進(jìn)行大部分初始化工作。WAYF組件知道每一個(gè)Origin端句柄服務(wù)器的名稱(chēng)和位置。其主要功能是將Origin端站點(diǎn)名稱(chēng)映射到HS信息上。WAYF的另一個(gè)作用是為用戶(hù)查詢(xún)HS并將句柄發(fā)送給SHIRE。WAYF通過(guò)與用戶(hù)打交道，詢(xún)問(wèn)“你從哪來(lái)”，用戶(hù)輸入組織名稱(chēng)，WAYF便在用戶(hù)組織的名稱(chēng)與HS的URL之間進(jìn)行映射。

　　2 SAML簡(jiǎn)介

　　SAML即安全斷言標(biāo)記語(yǔ)言，英文全稱(chēng)是Security Assertion Markup Language。它是一個(gè)基于XML的標(biāo)準(zhǔn)，用于在不同的安全域(security domain)之間交換和授權(quán)數(shù)據(jù)。在SAML標(biāo)準(zhǔn)定義了身份提供者(identity provider)和服務(wù)提供者(service provider)，這兩者構(gòu)成了前面所說(shuō)的不同的安全域。 SAML是OASIS組織安全服務(wù)技術(shù)委員會(huì)(Security Services Technical Committee)的產(chǎn)品。SAML將所有與檢索、傳輸和共享安全信息相關(guān)的功能標(biāo)準(zhǔn)轉(zhuǎn)化為以下形式[2]：

　　(1)為用戶(hù)提供XML安全信息格式，請(qǐng)求、傳輸信息的格式。

　　(2)定義這些消息與SOAP(Simple Object Access Protocol)等協(xié)議協(xié)作的方式。

　　(3)為像Web SSO(Single Sign-On)類(lèi)似的常見(jiàn)用例定義的消息交換。

　　(4)支持多種隱私保護(hù)機(jī)制，包括在不披露用戶(hù)身份的情況下確定用戶(hù)屬性的功能。

　　(5)詳述在Unix、Microsoft Windows、X509、LDAP、DCE和XCML技術(shù)所提供的格式中處理身份信息的方法。

　　(6)提供系統(tǒng)的元數(shù)據(jù)機(jī)制，使得所有參與的系統(tǒng)能就所支持的SAML選項(xiàng)進(jìn)行通信。

    SAML的設(shè)計(jì)特別關(guān)注了靈活性，當(dāng)遇到標(biāo)準(zhǔn)尚未涵蓋的需求時(shí)，可以擴(kuò)展。其所描述的環(huán)境包括3個(gè)角色，如圖1所示，即信任方(Service Provider)、斷言方(Identity Provider)和主題(與身份信息相關(guān)的用戶(hù))。

　　SAML（Security Assertion Markup Language）是一個(gè)XML框架，也就是一組協(xié)議，可以用來(lái)傳輸安全聲明。比如，兩臺(tái)遠(yuǎn)程機(jī)器之間要通訊，為了保證安全，我們可以采用加密等措施，也可以采用SAML來(lái)傳輸，傳輸?shù)臄?shù)據(jù)以XML形式，符合SAML規(guī)范，這樣我們就可以不要求兩臺(tái)機(jī)器采用什么樣的系統(tǒng)，只要求能理解SAML規(guī)范即可，顯然比傳統(tǒng)的方式更好。SAML 規(guī)范是一組Schema 定義。可以這么說(shuō)，在Web Service 領(lǐng)域，schema就是規(guī)范，在Java領(lǐng)域，API就是規(guī)范。

　　IdP與SP通過(guò)SAML消息傳送用戶(hù)的身份和屬性等信息。SAML消息定義了2種重要的語(yǔ)句：(1)身份驗(yàn)證語(yǔ)句，關(guān)于該主題在何時(shí)何地、使用何種身份進(jìn)行過(guò)驗(yàn)證的。SAML提供了超過(guò)20種不同身份驗(yàn)證方法的詳細(xì)定義。身份驗(yàn)證語(yǔ)句支持SSO，其中IdP代表SP進(jìn)行登錄。(2)屬性語(yǔ)句，包含了與主題有關(guān)的屬性。屬性語(yǔ)句中典型的屬性是組和角色。

　　安全是所有Web項(xiàng)目在設(shè)計(jì)時(shí)都要考慮的一個(gè)重要因素。無(wú)論是選擇短口令，決定何時(shí)使用SSL加密HTTP會(huì)話(huà)，還是通過(guò)自動(dòng)登錄cookie來(lái)識(shí)別用戶(hù)，都經(jīng)常要付出重大的設(shè)計(jì)努力，以保護(hù)用戶(hù)的身份信息和他們可能存放于Web站點(diǎn)的其他資料。糟糕的安全性可能帶來(lái)公關(guān)災(zāi)難。當(dāng)終用戶(hù)努力保持對(duì)其個(gè)人信息的控制時(shí)，他們要面臨令人迷惑的隱私政策，需要牢記眾多站點(diǎn)的不同口令，以及遭遇“釣魚(yú)式攻擊”事件。在宏觀層次上，數(shù)字身份引起了許多復(fù)雜的技術(shù)和社會(huì)問(wèn)題，業(yè)界一些團(tuán)體如Liberty Alliance和IdentityGang都正試圖通過(guò)開(kāi)發(fā)新的技術(shù)標(biāo)準(zhǔn)來(lái)解決它們。在較小的規(guī)模上，可以使用一些工具來(lái)為用戶(hù)提供更好的安全性。請(qǐng)考慮口令管理問(wèn)題。用戶(hù)訪(fǎng)問(wèn)他們保存?zhèn)€人資料的Web站點(diǎn)，在可以存取他們的資料之前必須經(jīng)過(guò)驗(yàn)證。通過(guò)驗(yàn)證來(lái)鑒別用戶(hù)，確保他們是所聲稱(chēng)的用戶(hù)。進(jìn)行驗(yàn)證簡(jiǎn)單方式是使用口令。然而，若每個(gè)站點(diǎn)都需要各自的一套口令，用戶(hù)將有難以控制的大量口令。

　　1998年微軟首先嘗試通過(guò)其Passport network提供該問(wèn)題的解決方案。Passport使得任意Web站點(diǎn)使用用戶(hù)提交給Passport的個(gè)人資料（如用戶(hù)名、地址、信用卡號(hào)）成為可能。Passport是單點(diǎn)登錄（single sign-on，SSO）的次電子商務(wù)嘗試。它沒(méi)有流行起來(lái)，部分原因是由于人們對(duì)系統(tǒng)封閉性的擔(dān)心。然而，SSO的理念非常引人注目，許多開(kāi)放標(biāo)準(zhǔn)和商業(yè)計(jì)劃都追隨Passport其后。通過(guò)SSO，某個(gè)Web站點(diǎn)可以與其他站點(diǎn)共享用戶(hù)身份信息。 SSO對(duì)于使用應(yīng)用服務(wù)提供商（Application Service Provider，ASP）軟件服務(wù)的企業(yè)特別有用。ASP在自己的服務(wù)器上宿主應(yīng)用程序，出售其訪(fǎng)問(wèn)權(quán)作為服務(wù)。公司可以在它的標(biāo)準(zhǔn)目錄服務(wù)器里管理自己的用戶(hù)和口令，然后通過(guò)SSO授予用戶(hù)訪(fǎng)問(wèn)ASP應(yīng)用程序的權(quán)限。SSO允許公司管理自己用戶(hù)的信息，不必為每一員工維護(hù)多個(gè)用戶(hù)賬號(hào)。對(duì)用戶(hù)來(lái)說(shuō)，SSO的好處在于他們可以在多個(gè)應(yīng)用程序中使用一個(gè)用戶(hù)名和口令，并且在應(yīng)用程序之間切換時(shí)無(wú)需重新驗(yàn)證。SSO不僅僅用于Web應(yīng)用程序，它可用于任何類(lèi)型的應(yīng)用程序，只要有安全地傳送身份信息的協(xié)議。這種通信方式的開(kāi)放標(biāo)準(zhǔn)就是安全性斷言標(biāo)記語(yǔ)言（SAML）。

　　3 Shibboleth在本系統(tǒng)中的作用

　　(1)系統(tǒng)將基于Shibboleth的框架進(jìn)行開(kāi)發(fā)，但不完全使用Shibboleth，需要根據(jù)用戶(hù)的實(shí)際需求對(duì)其進(jìn)行改造。

　　(2)Shibboleth構(gòu)成跨域統(tǒng)一身份系統(tǒng)的部分，包括IdP、SP和WAYF組成的整個(gè)跨域統(tǒng)一身份系統(tǒng)的架構(gòu)。

　　(3)通過(guò)將Shibboleth的IdP組件與各個(gè)學(xué)校的統(tǒng)一身份系統(tǒng)集成，將身份數(shù)據(jù)的管理和身份憑據(jù)的交給各個(gè)學(xué)校自身的統(tǒng)一身份系統(tǒng)。跨域中心只是作為跨域的索引，并不維護(hù)任何身份數(shù)據(jù)。

　　4 跨校統(tǒng)一身份系統(tǒng)的實(shí)現(xiàn)

　　4.1 跨校統(tǒng)一身份系統(tǒng)設(shè)計(jì)

　　該身份系統(tǒng)可分為3個(gè)子系統(tǒng)，身份提供方IdP(Identity Provider)、服務(wù)提供方SP(Service Provider)和身份聯(lián)盟中心FC(Federation Centre)。這3個(gè)子系統(tǒng)在實(shí)現(xiàn)聯(lián)盟時(shí)，工作原理與Shibboleth基本相同。下面從實(shí)現(xiàn)用戶(hù)身份聯(lián)盟的角度介紹這3個(gè)子系統(tǒng)的結(jié)構(gòu)、工作機(jī)制以及交互方式。

　　4.1.1 身份提供方(IdP)

　　IdP是負(fù)責(zé)用戶(hù)身份和提供用戶(hù)、屬性信息的實(shí)體，它需要維護(hù)3個(gè)模塊，即單點(diǎn)登錄系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和Shibboleth的IdP組件。

　　4.1.1.1 單點(diǎn)登錄系統(tǒng)

　　單點(diǎn)登錄系統(tǒng)(Single Sign-On Authentication System)是源組織的SSO系統(tǒng)，負(fù)責(zé)響應(yīng)用戶(hù)的身份請(qǐng)求并生成SSO Token[4]。加入身份聯(lián)盟的先決條件就是源組織已經(jīng)可以實(shí)現(xiàn)統(tǒng)一身份，在此基礎(chǔ)上，源組織無(wú)須對(duì)SSO系統(tǒng)做出變動(dòng)。目前使用較多SSO系統(tǒng)有SUN、Oracle、IBM、Microsoft等廠商推出的統(tǒng)一身份系統(tǒng)，身份聯(lián)盟系統(tǒng)都將提供很好的兼容。

　　4.1.1.2 數(shù)據(jù)庫(kù)和用戶(hù)屬性數(shù)據(jù)庫(kù)

　　數(shù)據(jù)庫(kù)(Authentication DB)是源組織SSO系統(tǒng)的一部分，為SSO提供數(shù)據(jù)并直接服務(wù)于單點(diǎn)登錄系統(tǒng)。

　　用戶(hù)屬性數(shù)據(jù)庫(kù)(User DB)主要為Shibboleth的IdP組件服務(wù)，它存儲(chǔ)了身份聯(lián)盟系統(tǒng)所需要的用戶(hù)屬性信息。

　　4.1.1.3 Shibboleth的IdP組件

　　Shibooleth的IdP組件主要工作單元分為句柄服務(wù)器HS(Handle Server)和屬性中心AA(Attribute Authority)2個(gè)部分。

　　(1)句柄服務(wù)器(HS)

　　用戶(hù)通過(guò)源組織的SSO后，HS根據(jù)用戶(hù)瀏覽器中cookie值頒發(fā)身份聯(lián)盟的句柄作為用戶(hù)在聯(lián)盟中的身份憑據(jù)。獲得句柄的過(guò)程既可以通過(guò)用戶(hù)瀏覽器的Browser/POST和Browser/Artifact方式來(lái)實(shí)現(xiàn)，也可以通過(guò)SAML中的身份驗(yàn)證斷言(Authentication Assertion)來(lái)實(shí)現(xiàn)。SAML定義了<samlp:AuthenticationQuery或<samlp:AssertionIDReference>字段的<samlp:Request>消息，通過(guò)它可以得到用戶(hù)身份的斷言(Assertion)，從中獲取句柄信息。用戶(hù)獲得句柄后就獲得了訪(fǎng)問(wèn)聯(lián)盟中服務(wù)提供方的合法身份。

　　(2)屬性中心(AA)

　　AA為服務(wù)提供方(SP)提供用戶(hù)相關(guān)的屬性信息，這些信息又可分類(lèi)為用戶(hù)固有屬性信息和用戶(hù)訪(fǎng)問(wèn)策略信息。用戶(hù)固有屬性信息存儲(chǔ)在用戶(hù)屬性數(shù)據(jù)庫(kù)(User DB)的數(shù)據(jù)中；用戶(hù)訪(fǎng)問(wèn)策略信息則是由屬性中心的屬性釋放策略ARP(Attribute Release Policy)提供的XML配置文件，包含了指定用戶(hù)是否可以訪(fǎng)問(wèn)指定資源的決策信息。ARP文件定義了一系列的默認(rèn)策略，同時(shí)也支持用戶(hù)配置策略，用戶(hù)配置策略的制定工作將統(tǒng)一交由身份聯(lián)盟中心(FC)負(fù)責(zé)。

　　4.1.2 服務(wù)提供方(SP)

　　SP是提供基于Web的服務(wù)、應(yīng)用或資源的實(shí)體，通過(guò)安全的途徑實(shí)現(xiàn)資源的授權(quán)訪(fǎng)問(wèn)和個(gè)性化服務(wù)。主要包含2個(gè)模塊：mod_shib模塊和SHAR模塊。

　　4.1.2.1 mod_shib模塊

　　mod_shib是Shibboleth用于集成到SP Apache服務(wù)器的一個(gè)擴(kuò)展模塊，負(fù)責(zé)根據(jù)IdP提供的用戶(hù)訪(fǎng)問(wèn)策略和本地訪(fǎng)問(wèn)控制策略對(duì)資源進(jìn)行訪(fǎng)問(wèn)控制。

　　4.1.2.2 SHAR模塊

　　SHAR(Shibboleth Attribute Requester)是運(yùn)行在服務(wù)提供方服務(wù)器上的一個(gè)后臺(tái)程序，負(fù)責(zé)向IdP請(qǐng)求用戶(hù)屬性相關(guān)的信息并處理響應(yīng)消息。實(shí)際上SHAR是與IdP的屬性中心AA配合工作的，當(dāng)SP需要用戶(hù)屬性信息時(shí)，SHAR將以通過(guò)后獲得的句柄(Handle)為憑據(jù)，向AA發(fā)送屬性請(qǐng)求的SAML消息，AA返回屬性查詢(xún)結(jié)果，交由SHAR解析作為mod_shib模塊實(shí)現(xiàn)訪(fǎng)問(wèn)控制的依據(jù)。

　　4.1.3 身份聯(lián)盟中心(FC)

　　FC的主要功能是用于用戶(hù)的源組織選擇，即當(dāng)用戶(hù)訪(fǎng)問(wèn)非源組織資源需要時(shí)，將由FC提供源組織定位服務(wù)。該功能主要基于Shibboleth的Service Discovery組件，也可稱(chēng)為WAYF服務(wù)。另外，本項(xiàng)目中的FC還根據(jù)需求提出了資源注冊(cè)、計(jì)費(fèi)、審計(jì)等輔助功能。

　　WAYF服務(wù)在Shibboleth結(jié)構(gòu)中是一個(gè)可選組件，采用集中的方式讓用戶(hù)選擇自己所在的源組織。

　　WAYF服務(wù)必須支持Shibboleth的請(qǐng)求方式，即瀏覽器Browser/POST和Browser/Artifact請(qǐng)求方式或者SAML請(qǐng)求方式，目的是為了協(xié)調(diào)源組織的SSO服務(wù)和身份聯(lián)盟系統(tǒng)中的SSO服務(wù)。WAYF實(shí)際上充當(dāng)了各源組織SSO服務(wù)的中介，使各源組織的SSO在整個(gè)身份聯(lián)盟系統(tǒng)中都具有有效性。

　　4.2 跨校統(tǒng)一身份系統(tǒng)框架

　　4.2.1 全局架構(gòu)設(shè)計(jì)

　　(1)每個(gè)高校都具有雙重身份：既是服務(wù)提供者(SP)，又是身份提供者(IdP)。

　　(2)存在一個(gè)Discovery服務(wù)(即WAYF服務(wù))，當(dāng)用戶(hù)沒(méi)有經(jīng)過(guò)而訪(fǎng)問(wèn)SP時(shí)，由Discovery確定用戶(hù)應(yīng)該到哪個(gè)IdP去進(jìn)行身份驗(yàn)證。

　　整體邏輯架構(gòu)[5]說(shuō)明如圖2所示。

　　4.2.2 單一高校內(nèi)部的系統(tǒng)架構(gòu)設(shè)計(jì)

　　為了更清楚地說(shuō)明整個(gè)邏輯架構(gòu)，圖3所示為各個(gè)高校的內(nèi)部邏輯架構(gòu)圖。

　　高校內(nèi)部邏輯架構(gòu)[6]說(shuō)明：

　　(1)高校中的IdP基于原有的身份系統(tǒng)，在原有系統(tǒng)基礎(chǔ)上加入2個(gè)IdP組件：憑據(jù)和屬性憑據(jù)。

　　(2)高校的SP提供并保護(hù)高校的受控資源，在受控資源之上增加3個(gè)SP組件：斷言接受器、屬性請(qǐng)求器和訪(fǎng)問(wèn)控制器。1個(gè)SP可以保護(hù)多個(gè)受控資源。

　　4.2.3 聯(lián)盟過(guò)程

　　4.2.3.1 用戶(hù)未登錄時(shí)訪(fǎng)問(wèn)高校A的資源(系統(tǒng)視角)

　　場(chǎng)景：用戶(hù)次訪(fǎng)問(wèn)高校A的受控資源如圖4、圖5、圖6所示。

　　用戶(hù)訪(fǎng)問(wèn)某一高校受控資源步驟如下：

　　(1)用戶(hù)向高校A提出訪(fǎng)問(wèn)請(qǐng)求。

　　(2)高校A的斷言接受器發(fā)現(xiàn)該用戶(hù)未，將請(qǐng)求重定向給聯(lián)盟中心的WAYF服務(wù)器。

　　(3)WAYF服務(wù)器將學(xué)校選擇界面發(fā)送給用戶(hù)，讓用戶(hù)選擇所能的IdP。

　　用戶(hù)訪(fǎng)問(wèn)某一高交的Jdp步驟如下：

　　(1)用戶(hù)選擇高校A后，提交給WAYF。

　　(2)WAYF重定向到高校A的服務(wù)。

　　(3)高校A的服務(wù)發(fā)現(xiàn)用戶(hù)尚未登錄，將請(qǐng)求定向到SSO服務(wù)。

　　(4)SSO服務(wù)向用戶(hù)發(fā)出高校A的登錄界面。

　　用戶(hù)進(jìn)行身份的過(guò)程步驟如下：

　　(1)用戶(hù)輸入用戶(hù)名口令，向高校A的IdP登錄。

　　(2)高校A的SSO服務(wù)對(duì)用戶(hù)，通過(guò)后生成Ticket(用戶(hù)A通過(guò)后的證明)，交給瀏覽器。

　　(3)請(qǐng)求重定向到高校A的服務(wù)，該服務(wù)到SSO服務(wù)上去驗(yàn)證之前生成的Ticket。

　　(4)SSO服務(wù)驗(yàn)證Ticket，通過(guò)后將用戶(hù)的userId交給服務(wù)。

　　(5)服務(wù)將userId交給憑據(jù)。

　　(6)憑據(jù)為該用戶(hù)產(chǎn)生一個(gè)nameId，這是整個(gè)聯(lián)盟過(guò)程中用戶(hù)的標(biāo)識(shí)，并將該nameId返回給服務(wù)。

　　(7)服務(wù)將nameId發(fā)還給瀏覽器，瀏覽器再次訪(fǎng)問(wèn)高校A的SP。

　　(8)高校A的斷言接受器接受后用戶(hù)的請(qǐng)求，傳給屬性請(qǐng)求器。

　　(9)屬性請(qǐng)求器根據(jù)來(lái)訪(fǎng)用戶(hù)的nameId，向該用戶(hù)的IdP的屬性憑據(jù)請(qǐng)求用戶(hù)的屬性。

　　(10)高校A的屬性憑據(jù)根據(jù)該nameId從憑據(jù)處獲得用戶(hù)真實(shí)的userId。

　　(11)屬性憑據(jù)根據(jù)獲得的userId從用戶(hù)數(shù)據(jù)庫(kù)中獲得用戶(hù)身份信息的屬性值，將屬性值返回給高校A的屬性請(qǐng)求器。

　　(12)高校A的屬性請(qǐng)求器將屬性值發(fā)送給訪(fǎng)問(wèn)控制器。

　　(13)訪(fǎng)問(wèn)控制器根據(jù)用戶(hù)的屬性決定用戶(hù)可訪(fǎng)問(wèn)的受控資源，并將結(jié)果返回給用戶(hù)。

　　4.2.3.2 用戶(hù)未登錄時(shí)訪(fǎng)問(wèn)高校A資源(用戶(hù)視角)

　　用戶(hù)可視過(guò)程如圖7所示。

　　訪(fǎng)問(wèn)高校A資源的整個(gè)過(guò)程如下：

　　(1)用戶(hù)向高校A訪(fǎng)問(wèn)受控資源。

　　(2)用戶(hù)收到回復(fù)，要求其選擇所在的高校。

　　(3)用戶(hù)選擇其所在的高校。

　　(4)用戶(hù)收到其所在高校的登錄頁(yè)面。

　　(5)用戶(hù)填入用戶(hù)名密碼，并提交。

　　(6)用戶(hù)獲得所需要的受控資源。

　　本文參考Shibboleth的架構(gòu)，完成了跨校身份聯(lián)盟系統(tǒng)的設(shè)計(jì)方案，實(shí)現(xiàn)用戶(hù)“異地訪(fǎng)問(wèn)—本地”的功能，避免了異地的繁瑣，簡(jiǎn)化了業(yè)務(wù)流程。身份聯(lián)盟各子系統(tǒng)交互采用SAML標(biāo)準(zhǔn)，有效地保證了系統(tǒng)通信的安全，保障了用戶(hù)的隱私，很好地滿(mǎn)足了應(yīng)用管理的需求，為高校間的合作和信息交流提供了一個(gè)良好的平臺(tái)。