使用 SAML (SSO) 实现 Web 服务安全 - 如何？

Question

问题：

我想实现一组受SAML保护的Web服务。我需要对用户进行身份验证，并且还需要根据用户角色进行授权。 我发现了一些与此类似的问题，但没有一个有令人满意的答案。

场景：

• 仅使用Webservices访问Java Webapp；
• SOAP——地铁；
• 客户使用他们将开发的一些桌面应用程序。

我需要的主要功能：

• 免费软件；
• SAML 2.0；
• LDAP（或类似解决方案）来管理用户信息；
• 消息级安全性 (SOAP)。

问题：

我研究了一些 SAML (SSO) 解决方案（例如 Shibboleth、opemAM、JOSSO...）；

• 我可以在不影响任何关键功能的情况下使用其中任何一个吗？
• 或者我是否需要实现自己的方式来处理 SAML 令牌？
• 怎么做呢？

谢谢你！

以下是我发现的一些结果和/或答案中的一些提示：

• Shibboleth：

  • http://shibboleth.1660669。 n2.nabble.com/Web-Service-End-to-End-Security-td5526934.html
    Shiboleth 不做端到端，只是点对点。

  • http://www.predic8.com/shibboleth-web-services- sso-en.htm
    在 SP 之前需要一个代理模块进行身份验证。

• OpenAM：

  • https://wikis.forgerock.org/confluence/display/openam/Web+Services
    不提供服务提供商 (SP)。定义基于客户端-服务器的架构，其中客户端在使用 Web 方法进行身份验证时明确要求令牌。
    
    

• WSO2：

  • http://wso2.org/library /articles/2010/07/saml2-web-browser-based-sso-wso2-identity-server
    不提供SP，需要使用OpenSAML实现。

仍在寻找，请贡献！！

Answer 1

我是 WSO2 的一名建筑师。 WSO2 生成支持您所需的所有功能的 WSO2 Identity Server。您可以在现有 LDAP 用户存储上部署 WSO2 Identity Server 并使其充当 SAML2 IdP。我们在我们的平台即服务 [PASS] 产品中使用 Identity Server 的此功能 - https://stratoslive.wso2.com< /a> 用于 SAML2 单点登录。

这是一个很好的起点，您可以从此处下载 WSO2 Identity Server。

Answer 2

因为没有人回答有效的选项。我决定使用 Metro SAML 保护服务，并尝试使用 OpenAM 提供令牌。

Answer 3

为此，您可以查看 jasig CAS。
我们尚未使用 SAML，但它应该按所述工作