我正在考虑使用OpenAM(以前的 Sun OpenSSO)保护整个 Java EE 软件平台。在 WebLogic AS 上运行的应用程序将受到JEE 策略代理和具有WS-Security SAML 令牌配置文件的Web 服务的保护。
据我了解,SSOTokenManager使应用程序代码能够检索 OpenAM 的 SSO 令牌。但为了调用受SAML保护的 Web 服务,我需要从 OpenAM 获取 SAML 断言。谁能告诉我该怎么做?
此外,在 Web 服务代码中,我可能需要从 SAML 断言中取回 SSO 令牌。那可能吗 ?
您应该能够使用 OpenSSO 的Security Token Service实现这两种转换。有一个配置它的教程。
SSOToken 是用户会话的内部 OpenAM 表示,而 SAML 令牌是带有相关信息的断言身份。因此,这些不能以您描述的方式直接翻译。
为了获得用于 Web 服务调用的 SAML 令牌,您应该查看 OpenAM 中的 STS 功能。这是一种标准化服务,它将对用户进行身份验证,然后对用户的身份和身份验证做出断言,由 SAML 令牌表示。然后将此令牌返回给可以根据相关 WS-* 标准包含此令牌的调用实体(Web 服务客户端)。
您可能还想查看 OpenAM wss 提供程序或 Metro/WSIT 库以帮助在客户端实现。