在网络信息时代,企业和机构都在通过internet寻找新的商机和新的业务开展途径。与此同时,他们必须确保公开信息的信息资产的安全。随着客户、员工、合作伙伴和供应商的数量不断增加,企业和机构必须保护其敏感信息不被竞争对手和黑客窃取,同时还要在全球范围内提供对关键信息资源的访问。为发掘这些新机遇所带来的业务潜力,不论是组织还是用户都越来越多地涉入对日益分散的资源的访问,而这些访问对业务信息安全的威胁也越来越大。为了迎接这些挑战,必须实施一套行之有效的关于身份管理基础设施的解决方案。在要降低成本的情况下,达到虚拟企业要求的集成、安全、服务和运营,那么身份管理是要实现这些目标的组织的唯一选择。面对业务合作和身份联邦等需求的增长,以及SOA和Web2.0等新兴技术的冲击,传统的身份管理系统无论在软件的使用和进化上,都难以令用户感到满意。本文将以笔者在IBM中国研究院参与开发的身份管理系统为项目背景,将SAML规范和REST架构结合应用到身份管理领域,力图对项目中的遗留身份管理系统(传统的身份管理系统)进行软件进化,从而构建出安全性高、可扩展性强、结构灵活并且执行高效的新版本的身份管理系统。本文将通过遗留系统存在的问题进行分析,提出相应的解决方案,从而论述新版本的身份管理系统总体结构的选择和设计,以及新系统各个模块的设计和关键技术的实现细节,系统的模块包括:身份信息在LDAP上数据模型、数据访问层、身份信息的REST风格接口和基于SAML规范的单点登录模块。除此之外,本文还将论述系统所应用的设计架构和实现方式,与系统向SOA和Web2.0等技术进化的关系。