为几个站点实现单点登录(single sign on，SSO)是一个复杂多变、涉及多个解决方案的问题。近五年内出现的Security Assertion Markup Language (SAML) 是其中一种较为标准的方式，而 BEA WebLogic Server 9 提供了对SAML 的广泛支持。但遗憾的是，简单的 SAML 配置例子，尤其是跨平台的场景很难实现。

　　本教程描述了一个Microsoft Internet Information Services Server (IIS) 和BEA WebLogic Server 9 间的简单SAML SSO 场景，并附有一个功能齐全的示例，该示例包含了 ASP.NET 代码以及用来配置 WebLogic Server的脚本。本教程假设您具有 SAML 的基础知识。

　　简介

　　最近，我的一个客户提出了这样的要求，他想要将WebLogic Portal 9 添加到流行的ASP.NET Web 基础架构。新老站点必须能够无缝的共存，而且还必须能单点登录。

　　在过去，这可能需要很多工作，比如编写笨重的安全提供程序，才能实现。所幸，WebLogic Server 9 提供了开箱即用的 SAML 支持。

　　SAML 是一种基于XML 的标准，用于用户认证、授权和属性信息的通信。Harold Lockhart的文章 揭开SAML的神秘面纱(Dev2Dev中文版，2005年12月)和 Beth Linker的文章 SAML简介：安全地共享数字身份信息(Dev2Dev中文版，2006年9月) 都对这种技术做了很好的介绍。

　　与WebLogic Server 9 不同，IIS 并不提供开箱即用的 SAML 支持。对于简单的场景来说，手工给出SAML断言十分简单，在本例中我就采用了这种做法。对于更复杂的场景，可尝试使用Web Services Enhancements (WSE)。

　　解决方案

　　客户的IIS认证解决方案功能健全且十分稳定，因此我决定重用它。.NET 端负责认证和生成 SAML 断言以供 WebLogic Server 使用。网络设置力图使服务器间能尽可能地直接通信，只留下POST SAML配置文件作为惟一的选项。　　

　　图1.受 SAML保护的资源访问顺序

　　图1 描述了POST SAML 配置文件是如何应用到我的场景中的。在 SAML 术语中， WebLogic Server 是一种资源提供程序，IIS 是身份断言提供程序。