帶SAML（SSO）的Web服務安全性 - 如何？

Question

的問題：

我要實行一套WEBSERVICES，與SAML保護的。我需要認證的用戶，並且還需要根據用戶角色授權。 我發現了一些與此類似的問題，但沒有一個答案滿意。

場景：

• 的Java的webapp只能用Web服務訪問;
• SOAP - metro;
• 客戶使用他們將開發的一些桌面應用程序。

主要特點我需要：

• 免費軟件;
• SAML 2.0;
• LDAP（或類似的解決方案）管理用戶信息;
• 消息級別安全性（SOAP）。

問題：

我研究一些SAML（SSO）解決方案（例如Shibboleth的，opemAM，JOSSO ...）;

• 我可以使用這些中的任何一種，而不會危及任何關鍵特性嗎？
• 還是我需要實現我自己的方式來處理SAML令牌？
• 怎麼辦？

謝謝！

這裏有一些結果，我發現，和/或答案的一些提示：

• 的Shibboleth：

  • http://shibboleth.1660669.n2.nabble.com/Web-Service-End-to-End-Security-td5526934.html
    Shiboleth不會做端到端，只是點對點。

  • http://www.predic8.com/shibboleth-web-services-sso-en.htm
    需要在SP之前進行驗證的代理模塊。

• OpenAM：

  • https://wikis.forgerock.org/confluence/display/openam/Web+Services
    不呈現服務提供商（SP）。在使用Web方法進行身份驗證時，定義基於客戶端 - 服務器的體系結構，其中客戶機明確要求令牌。
    
    

• WSO2：

  • http://wso2.org/library/articles/2010/07/saml2-web-browser-based-sso-wso2-identity-server
    不提供SP，則需要使用OpenSAML來實現它。

仍在尋找，請貢獻！

Answer 1

由於沒有人用有效選項回答。我決定使用城域SAML來保護這些服務，並嘗試使用OpenAM提供令牌。

Answer 2

我在WSO2的架構師。 WSO2生成支持您所需的所有功能的WSO2 Identity Server。您可以通過現有的LDAP用戶存儲來部署WSO2 Identity Server，並使其充當SAML2 IdP。我們在我們的平臺即服務[PASS]產品中使用Identity Server的這種功能 - https://stratoslive.wso2.com用於SAML2單點登錄。

This是一個很好的起點，您可以從here下載WSO2 Identity Server。

Answer 3

對於此，你可以看看jasig CAS。 我們還沒有使用SAML，但它應該如所述那樣工作here