SAML + web 服務客戶端 + 客戶端證書

Question

我需要有關 SAML 和 WS-Security 架構（或可能完全不同的標准？）的幫助。

我有以下獨立於平台的場景，我需要使用客戶端認證身份驗證來保護這些場景。 場景非交互，僅涉及 web 服務客戶端（1）。

(1) WS 客戶端 -> (2) WS 上的服務提供者 (SP) -> (3) 身份提供者 (IdP)

• (1) 在其機器上有客戶端證書並調用 (2)
• (2) 具有 (1) 需要消費的服務
• (3) 能夠使用客戶端證書對 (1) 客戶端進行身份驗證

我的問題是如何使用 SAML、WS-Trust 或其他安全標准來涵蓋此場景。

謝謝

Answer 1

幾乎可以使用任何“聯合”協議——OIDC、SAML、WS-Fed、WS-Trust……任你選擇。

1. 瀏覽器導航到 SP。
2. SP 說“我不認識你”並通過適用於上述所選協議的身份驗證請求將您重定向到 IdP
3. IdP 說“我不認識你，請驗證！”
4. 瀏覽器提供證書進行身份驗證
5. IdP 驗證證書，並構建適合所選協議的“斷言”。
6. IdP 將您重定向回帶有斷言的 SP
7. SP 驗證斷言並讓瀏覽器進入

在列出的協議中...只有 WS-Trust 的工作方式略有不同...在 WS-Trust 中，根據 SP 和 IdP 的實際身份，SP 可以要求瀏覽器提供證書，SP 可以要求 IdP在 STS 調用中進行身份驗證。 這僅在 IdP 和 SP 都配置為信任相同的特定 CA 時才有效。 這將導致不會從 SP 退回到 IdP 並返回。