OpenSSO SSOToken 到 SAML 断言并返回

Question

我正在考虑使用 OpenAM（以前的 Sun OpenSSO）来保护整个 Java EE 软件平台的安全。在 WebLogic AS 上运行的应用程序将通过 JEE 策略代理 和具有 WS-Security SAML 令牌配置文件 的 Web 服务进行保护。

据我了解，SSOTokenManager 使应用程序代码能够检索 OpenAM 的 SSO 令牌。但为了调用受 SAML 保护的 Web 服务，我需要从 OpenAM 获取 SAML 断言。 谁能告诉我该怎么做吗？

此外，在 Web 服务代码中，我可能需要从 SAML 断言中获取 SSO 令牌。 这可能吗？

Answer 1

您应该能够使用 OpenSSO 的 安全令牌服务。有一个用于配置它的教程。

Answer 2

SSOToken 是用户会话的内部 OpenAM 表示，而 SAML 令牌是具有关联信息的断言身份。因此，这些不能按照您描述的方式直接翻译。

为了获取用于 Web 服务调用的 SAML 令牌，您应该查看 OpenAM 中的 STS 功能。这是一项标准化服务，将对用户进行身份验证，然后对由 SAML 令牌表示的用户身份和身份验证做出断言。然后，此令牌返回给调用实体（Web 服务客户端），调用实体可以根据相关 WS-* 标准包含此令牌。

您可能还需要查看 OpenAM wss 提供程序或 Metro/WSIT 库来协助客户端实施。