通过 Internet 代理 Kerberos Web 服务安全

Question

是否可以对 Internet 上的 Web 服务使用代理 Kerberos 身份验证？ 我正在研究已具有 Active Directory 的环境的 Web 服务安全性。 由于现有的架构，Web 服务将非常繁琐，我无法控制该架构。 执行一项业务流程最多可能需要 6 个 Web 服务调用。

人们担心多次身份验证以及由此产生的开销。 从我对代理 kerberos 身份验证的最初阅读来看，一旦提供了用户凭据，就会返回 Kerberos 安全令牌，并且每个 Web 服务调用都不需要身份验证。

我正在设想一个系统，其中用户凭据通过 Web 服务调用传递到 Active Directory，并返回 Kerberos 令牌。 然后，该令牌将用于所有后续 Web 服务调用。

这是可能的还是我正在偏离正题？ 如果我要偏离正题，是否有首选方法？ 我已经阅读完 Microsoft Web Service Security: Scenarios, Patterns and Implement Guidance for WSE 3.0，但仍然有点不清楚。

Answer 1

考虑利用 SAML 协议作为通过 WS-Security 交换断言的方式。