使用SAML（SSO）的Web服務安全性 - 如何？

Question

問題 ：

我想實現一組Web服務的，與SAML保護。 我需要對用戶進行身份驗證 ，還需要根據用戶角色進行授權 。 我發現了一些與此類似的問題，但沒有一個問題得到滿意答案。

場景 ：

• 僅使用Webservices訪問Java Webapp;
• SOAP - 地鐵;
• 客戶端使用他們將開發的一些桌面應用程序。

我需要的主要功能 ：

• 免費軟件;
• SAML 2.0;
• 用於管理用戶信息的LDAP（或類似解決方案）;
• 消息級安全性（SOAP）。

問題：

我研究了一些SAML（SSO）解決方案（例如Shibboleth，opemAM，JOSSO ......）;

• 我可以使用其中任何一個，而不會犧牲任何關鍵功能嗎？
• 或者我是否需要實現自己的方式來處理SAML令牌？
• 怎么做？

謝謝！

以下是我發現的一些結果，和/或答案中的一些提示：

• Shibboleth的：

  • http://shibboleth.1660669.n2.nabble.com/Web-Service-End-to-End-Security-td5526934.html
    Shiboleth不是點到點，只是點到點。

  • http://www.predic8.com/shibboleth-web-services-sso-en.htm
    在SP之前需要代理模塊進行身份驗證。

• OpenAM：

  • https://wikis.forgerock.org/confluence/display/openam/Web+Services
    不提供服務提供商（SP）。 在使用Web方法進行身份驗證時，定義基於客戶端 - 服務器的體系結構，其中客戶端明確要求令牌。
    
    

• WSO2：

  • http://wso2.org/library/articles/2010/07/saml2-web-browser-based-sso-wso2-identity-server
    不提供SP，您需要使用OpenSAML實現它。

還在搜索，請貢獻!!

Answer 1

我是WSO2的建築師。 WSO2生成WSO2 Identity Server，支持您需要的所有功能。 您可以在現有LDAP用戶存儲上部署WSO2 Identity Server，並使其充當SAML2 IdP。 我們在平台即服務[PASS]產品中使用Identity Server的這一功能 - https://stratoslive.wso2.com用於SAML2單點登錄。

這是一個很好的起點，您可以從這里下載WSO2 Identity Server。

Answer 2

由於沒有人回答有效選項。 我決定使用城域SAML保護服務，並嘗試使用OpenAM提供令牌。

Answer 3

為此，您可以查看jasig CAS。 我們還沒有使用SAML，但它應該按照這里描述的那樣工作