随着web技术的不断应用,越来越多的大学、公司以及政府机构都通过网络对外提供资源、服务,并且彼此协作日益紧密、信息共享日益频繁。这些资源、服务系统各自使用独立的认证授权体系,分别维护着不同的安全策略和用户信息库。独立的认证授权机制导致了业务关系的相对孤立,同时,用户被迫在不同的应用下使用不同的用户名和口令多次登录,从而导致了孤立的用户体验。SAML2.0协议正是为消除这种访问孤立和业务孤立而建立起的一种在安全域间交换认证和授权信息的标准,以便更安全、更快捷地访问所有共享资源、公共服务。本文主要研究Web方式下SAML2.0的应用。提出了集中身份认证与授权模型,在该模型下可以对用户身份信息、应用系统身份认证和授权信息进行集中管理,这样能解决分散认证授权模式下遇到的信息管理混乱问题。而采用SAML2.0协议构建出一个联邦环境的在线身份服务系统,进而利用单点登录技术,结合统一身份认证与授权技术,就可很好的解决多应用系统协作上遇到的重复登录问题。架设在身份服务系统上的单点登录技术要得到很好的应用,会遇到一个障碍：当前已有的应用系统如何才能与身份服务系统集成以实现同一个安全域内身份认证和授权信息的共享。并且多个组织、机构都有自己的身份服务系统,都构成了自己的安全域,这些安全域完全有可能采用不同的安全协议,如何在采用不同安全协议的多个安全域之间实现身份认证和授权信息的共享,这些都是SAML2.0应用下要解决的关键技术问题。本文研究开发了应用系统与身份服务之间集成的SSO集成组件及多个身份服务间的跨域SSO技术,其主要的技术特性有：(1)在集成技术上,采用组件开发方式,实现了与应用系统的安全、无缝集成。在不对应用系统进行任何改造的情况下,通过提供的在线界面进行简单配置,就能实现与身份服务系统的集成。(2)跨平台、跨域的单点登录。不仅支持J2EE平台身份服务系统之间的SSO,还支持与.NET平台的SSO。(3)对于跨域SSO中授权信息的传递这一关键问题,提出跨域身份映射和跨域属性映射的解决方案。