Shibboleth的目的是对用户进行统一的认证。通过用户所属的源站点对用户进行认证和授权，从而使得联盟中各个站点能够对用户进行认证和授权。它涉及4个方面的内容：用户认证机制；用户资料的传递机制；用户真实性的鉴别；用户认证和授权信息的保密机制。这些，都属于信息安全领域的研究范畴。

　　Shibboleth是Internet2/MACE项目中其中的一个，得到了IBM的技术和资金支持，是一个使用标准语言描述的体系结构和策略框架，支持安全Web资源和服务的共享，是安全断言标记语言(Security Assertion Markup Language)的一种实现。

Shibboleth组件与协议

　　Shibboleth中包含7个部分组件，其中5个为Shibboleth实现，2个需要用户实现。

　　SP端(target)

　　SP(Service provider)端是资源/服务提供端，主要作用是过滤用户的资源请求，并向该用户所在的IdP查询用户的属性，然后根据属性作出允许或拒绝访问资源的决策。

　　SHIRE

　　资源的保护者。过滤HTTP请求，当遇到指定的HTTP请求时，向SHAR发送用户属性查询句柄(AQH)。经过一些列处理后SHAR会返回用户属性。通过用户属性中规定的用户权限，决定用户对资源的权限。同时，SHIRE还要完成对用户属性句柄的请求操作。

　　SHAR

　　用户属性的缓存。通过发送AQM与IdP中的AA联系，取得用户属性，然后通过cookie形式缓存下来，当SHIRE查询用户属性时，通过检查cookie以及与AA联系等操作，返回用户属性。

　　因此，何时向AA发送AQM，当AA返回ARM时SHAR该如何处理，何时向SHIRE报告用户属性，这需要一套机制，也是APP(attribute acceptance policy)存在的原因。

　　WAYF

　　WAYF是系统中的一个组件，用以完成IdP站点名与HS之间的映射。同时，WAYF会向HS发送“浏览器发送配置文件”，从而引发HS一系列的反应，最后使得HS向SHIRE的某个特定的URL返回“浏览器辅助诊断文件”。

　　IdP端(origin)

　　IdP是身份提供端，主要作用是向SP提供用户属性，以便使SP根据用户属性对用户操作授权。

　　HS

　　用户身份的鉴别机构。HS的主要作用是等待SHIRE发送的“浏览器发送配置文件”，当接受到该文件时，通知AA与CA进行相应的处理，然后返回“浏览器辅助配置文件”给SHIRE。

　　AA

　　用户属性的生成机构，决定是否生成用户属性。通过判断用户的session，来判断使用已经存在的用户属性，还是生成新的用户属性，同时保持用户的session。因此，AA中定义了ARP(用户属性颁布策略)，用以决定是否生成用户属性，何时发送用户属性。同时AA要完成与SHAR的通信，通过AQM与ARM完成AA发布用户属性的操作。

　　CA

　　认证中心。主要作用是完成对用户的认证，存储用户的权限，当需要对用户进行认证与权限请求时，验证用户的USER/PASS或者验证用户的证书，完成对用户的鉴别。

　　用于通信的消息

　　Shibboleth作为SAML的一种实现，需要完成用户/浏览器、源端和目的端之间的通信。SAML中规定的配置文件和查询/响应协议，Shibboleth都进行了完整的实现。查询/响应协议规定了AA与SHAR之间的协作和通信；配置文件规定了SHIRE、WAYF和HS之间的协作与通信。

　　浏览器发送配置文件

　　Shibboleth中包含了两种浏览器发送配置文件：SHIRE发送给WAYF的和WAYF发送给HS的。

　　1. 用户发往WAYF的浏览器发送配置文件：当SHIRE遇到不能识别的用户时，它将用户重定向到WAYF服务器，同时发出用户句柄请求。此时，用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过WAYF服务器中的认证表单，选定所属的IDP，并将该表单提交给WAYF。

　　2. WAYF发给HS的浏览器发送配置文件：当WAYF将用户所属IDP与该IDP的HS服务器映射后，将用户浏览器重定向到该HS服务器。此时，用户浏览器中能观察到的链接包括WAYF地址、SHIRE中用户句柄接收地址和用户请求的资源地址。用户通过填写所属IDP的认证中心提供的表单，提交用户名/密码等相关信息完成认证。

　　浏览器辅助配置文件

　　当用户通过HS完成所属站点的身份认证后，该HS将用户浏览器重定向到远程SP中用户句柄接收地址，同时附上表单，表单中填写用户句柄和其他相关信息(包括存储用户信息的AA所在位置、用户请求资源连接等)。因为这些信息均以表单形式提供，但均不是浏览器提交，而是HS提供的，在该过程中浏览器仅仅是提供传输表单等信息的功能，因此该配置文件称为浏览器辅助配置文件。

　　AQM(属性查询消息)

　　AQM是从SHAR发往AA的消息，通过XML实现。

　　ARM(属性应答消息)

　　ARM是从AA发往SHAR的消息，通过XML实现，包含如下几个部分。

　　1.该消息所属协议版本号、对应于请求消息的标识和该应答消息的唯一标识。

　　2.用户属性查询句柄(AQH)或用户的证书。

　　3.该用户属性的合法性约束(比如过期时间)。

　　4.0个或多个用户属性。

　　协议绑定

　　SAML 指出，通信的消息可以与多种通信协议绑定。Shibboleth中实现了SOAP的绑定，AQM和ARM均使用SOAP负载。