我正在设计一种协议,该协议在各个组织之间传递自动指令。
我正在努力寻找一种现有的身份验证机制,该机制可以允许组织仅将 自己的设备认证给另一个组织。
所以我正在寻找的东西将允许:
foomy.tld
应该能够验证new_deive.foomy.tld
。acme.tld
可以选择信任foomy.tld
,这意味着它信任new_device.foomy.tld
实际上确实属于foomy.tld
acme.tld
绝不应该信任foomy.tld
来认证*.foomy.tld
设备以外的任何设备。对于x509 CA证书,CA角色通常由第三方CA执行。但这不适合此目的:
组织可以为此目的充当自己的CA,但事实证明,x509确实不支持此功能。一旦您接受了CA的信任,就无法充分限制该信任的范围。 IE:You cannot trust it to only sign certificates for it's own domain。
我看过的单点登录机制似乎是基于对用户进行身份验证的概念构建的。后台自动化服务似乎没有得到很好的支持。
也许我在这里错过了一些东西。
是否有另一种方法可以允许我使用这种类型的跨组织身份验证?