使用SAML（SSO）的Web服务安全性 - 如何？

Question

问题 ：

我想实现一组Web服务的，与SAML保护。 我需要对用户进行身份验证 ，还需要根据用户角色进行授权 。 我发现了一些与此类似的问题，但没有一个问题得到满意答案。

场景 ：

• 仅使用Webservices访问Java Webapp;
• SOAP - 地铁;
• 客户端使用他们将开发的一些桌面应用程序。

我需要的主要功能 ：

• 免费软件;
• SAML 2.0;
• 用于管理用户信息的LDAP（或类似解决方案）;
• 消息级安全性（SOAP）。

问题：

我研究了一些SAML（SSO）解决方案（例如Shibboleth，opemAM，JOSSO ......）;

• 我可以使用其中任何一个，而不会牺牲任何关键功能吗？
• 或者我是否需要实现自己的方式来处理SAML令牌？
• 怎么做？

谢谢！

以下是我发现的一些结果，和/或答案中的一些提示：

• Shibboleth的：

  • http://shibboleth.1660669.n2.nabble.com/Web-Service-End-to-End-Security-td5526934.html
    Shiboleth不是点到点，只是点到点。

  • http://www.predic8.com/shibboleth-web-services-sso-en.htm
    在SP之前需要代理模块进行身份验证。

• OpenAM：

  • https://wikis.forgerock.org/confluence/display/openam/Web+Services
    不提供服务提供商（SP）。 在使用Web方法进行身份验证时，定义基于客户端 - 服务器的体系结构，其中客户端明确要求令牌。
    
    

• WSO2：

  • http://wso2.org/library/articles/2010/07/saml2-web-browser-based-sso-wso2-identity-server
    不提供SP，您需要使用OpenSAML实现它。

还在搜索，请贡献!!

Answer 1

我是WSO2的建筑师。 WSO2生成WSO2 Identity Server，支持您需要的所有功能。 您可以在现有LDAP用户存储上部署WSO2 Identity Server，并使其充当SAML2 IdP。 我们在平台即服务[PASS]产品中使用Identity Server的这一功能 - https://stratoslive.wso2.com用于SAML2单点登录。

这是一个很好的起点，您可以从这里下载WSO2 Identity Server。

Answer 2

由于没有人回答有效选项。 我决定使用城域SAML保护服务，并尝试使用OpenAM提供令牌。

Answer 3

为此，您可以查看jasig CAS。 我们还没有使用SAML，但它应该按照这里描述的那样工作