SAML（SSO）的Web服务安全性 - 如何？

Question

问题：

我想实现一组 Webservices ，受 SAML 保护。我需要验证用户，还需要根据用户角色授权。 我发现了一些与此类似的问题，但没有一个问题得到满意答案。

方案：

• 仅使用Webservices访问Java Webapp;
• SOAP - metro;
• 客户端使用他们将开发的一些桌面应用程序。

我需要

主要功能：

• 自由软件;
• SAML 2.0;
• 用于管理用户信息的LDAP（或类似解决方案）;
• 消息级安全性（SOAP）。

问题：

我研究了一些SAML（SSO）解决方案（例如Shibboleth，opemAM，JOSSO ......）;

• 我可以使用其中任何一项，而不会牺牲任何关键功能吗？
• 或者我是否需要以自己的方式来处理SAML令牌？
• 怎么做？

谢谢！

以下是我发现的一些结果，和/或答案中的一些提示：

• 示播列：

  • http://shibboleth.1660669.n2.nabble.com/Web-Service-End-to-End-Security-td5526934.html
    Shiboleth并不是点到点，只是点到点。

  • http://www.predic8.com/shibboleth-web-services-sso-en.htm
    在SP之前需要代理模块进行身份验证。

• OpenAM：

  • https://wikis.forgerock.org/confluence/display/openam/Web+Services
    不提供服务提供商（SP）。在使用Web方法进行身份验证时，定义基于客户端 - 服务器的体系结构，其中客户端明确要求令牌。
    
    

• WSO2：

  • http://wso2.org/library/articles/2010/07/saml2-web-browser-based-sso-wso2-identity-server
    不提供SP，您需要使用OpenSAML实现它。

仍在搜索，请提供帮助!!

Answer 1

我是WSO2的建筑师。 WSO2生成WSO2 Identity Server，支持您需要的所有功能。您可以在现有LDAP用户存储上部署WSO2 Identity Server，并使其充当SAML2 IdP。我们在我们的平台即服务[PASS]产品中使用Identity Server的这一功能 - https://stratoslive.wso2.com用于SAML2单点登录。

This是一个很好的起点，您可以从here下载WSO2 Identity Server。

Answer 2

因为没有人回答有效选项。我决定使用metro SAML保护服务，并尝试使用OpenAM提供令牌。

Answer 3

为此您可以查看jasig CAS。 我们还没有使用SAML，但它应该按照here

所述的方式工作