对 RSA SecurID 的身份验证支持

ISA Server 2004 中引入了基于来自 RSA SecurID® 产品（RSA Security, Inc. 提供）的身份验证凭据对用户进行身份验证的功能。ISA 服务器可以保证需要 RSA SecurID 身份验证凭据的网站的安全。

RSA 提供的 SecurID 产品强制远程用户必须具备身份验证的两个要素才能获取对受保护的资源的访问权限。这两个要素分别是用户已知内容（个人 ID 号或 PIN）和用户已拥有的内容（物理令牌）。无论是 PIN 还是令牌都无法单独对每个用户授予访问权限。必须同时拥有这二者。

当用户尝试访问 RSA SecurID 所保护的网页时，ISA 服务器计算机代表运行 Internet 信息服务 (IIS) 且受它保护的服务器检查 Cookie。此 Cookie 只有在用户最近已通过身份验证时才会存在，并且不具持久性。如果用户的 Cookie 不存在，将提示用户输入 SecurID 的用户名以及 PASSCODE。这种质询的内容与浏览器的类型相对应。如果用户使用的是 Internet Explorer，质询内容类型将是超文本标记语言 (HTML)。PASSCODE 由用户的 PIN 与令牌代码组成。令牌代码显示在用户的令牌上，并且每分钟更改一次。ISA 服务器计算机上的 RSA ACE/Agent® 将这些凭据传递到 RSA ACE/Server® 计算机以进行验证。如果成功地验证了凭据，便会将一个 Cookie 传递到用户的浏览器以完成会话过程中的后续活动，并且会授予用户访问内容的权限。

有关 RSA ACE/Server 的安装和配置以及身份验证概念的详细信息，请参阅 RSA 网站 (http://www.Microsoft.com/)上的文档。

要点

我们建议您使用安全套接字层 (SSL) 来加密客户端与 ISA 服务器之间的通讯。

注意

RSA SecurID 基于 RSA Security Inc. 所提供的技术。

RSA SecurID 的身份验证过程

RSA SecurID 协议使用标准的 HTTP 消息来对客户端进行身份验证。此协议是基于请求的协议的一种变体，在该协议中，客户端发送附加到每个请求的特殊数据，以使服务器允许它执行请求。

使用了下列术语：

RSA ACE/Server。此计算机保留有关用户、组、主机和令牌的信息。对于每个用户，RSA ACE/Server 都维护一个包含用户可登录的主机列表以及一个登录名，该登录名可能随主机的不同而不同。
RSA ACE/Agent。此计算机提供 Web 内容，并要求用户提供 RSA SecurID 的凭据。
客户端。通常，这是接收 Web 内容的 Web 浏览器。

当客户端将 GET /x 请求发送到 ISA 服务器时，会发生下列过程：

RSA SecurID ISAPI 身份验证的 Web 筛选器拦截请求，并将 RSA SecurID 身份验证表单返回给客户端。
要求客户端在表单中填入登录名和 PASSCODE。
浏览器使用 HTTP POST 方法将表单返回给 Web 筛选器。
RSA SecurID 身份验证的 Web 筛选器将这些详细信息传递给 RSA ACE/Server，以确认是否允许该用户使用 ISA 服务器计算机进行访问。如果回答是肯定的，Web 筛选器将包含 Set-Cookie 头的响应返回给客户端。
Set-Cookie 头将 Cookie 写入到浏览器的内存中。在浏览器关闭时，该 Cookie 将丢失。该 Cookie 包含有关用户的信息。使用只有 ISA 服务器知道的机密对此信息进行了签名。这意味着其他用户不能修改此 Cookie。
响应包含 Refresh 头，该头指示浏览器重新将原来的 GET /x 请求发送到服务器。
当 Web 筛选器收到包含 Cookie 的请求时，通过检查下列内容来验证该 Cookie 是否有效：
- 过期时间
- IP 地址（如果指定）
- 签名（以确保数据未被篡改）
如果所有检查均成功地通过，请求将被传递到 ISA 服务器上安装的其他任何 Web 筛选器，然后再传递到 ISA 服务器。
ISA 服务器尝试请求对象，并将对象返回给客户端。

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。