0

我需要有关 SAML 和 WS-Security 架构(或可能完全不同的标准?)的帮助。

我有以下独立于平台的场景,我需要使用客户端认证身份验证来保护这些场景。场景不是交互式的,仅涉及 Web 服务客户端 (1)。

(1) WS 客户端 -> (2) WS 上的服务提供者 (SP) -> (3) 身份提供者 (IdP)

  • (1) 在其机器上有客户端证书并调用 (2)
  • (2) 具有 (1) 需要消费的服务
  • (3) 能够使用客户端证书对 (1) 客户端进行身份验证

我的问题是如何使用 SAML、WS-Trust 或其他安全标准来涵盖此场景。

谢谢

4

1 回答 1

0

几乎可以使用任何“联合”协议——OIDC、SAML、WS-Fed、WS-Trust……任你选择。

  1. 浏览器导航到 SP。
  2. SP 说“我不认识你”并通过适用于上述所选协议的身份验证请求将您重定向到 IdP
  3. IdP 说“我不认识你,请验证!”
  4. 浏览器提供证书进行身份验证
  5. IdP 验证证书,并构建适合所选协议的“断言”。
  6. IdP 将您重定向回带有断言的 SP
  7. SP 验证断言并让浏览器进入

在列出的协议中...只有 WS-Trust 的工作方式略有不同...在 WS-Trust 中,根据 SP 和 IdP 的实际身份,SP 可以要求浏览器提供证书,SP 可以要求 IdP在 STS 调用中进行身份验证。这仅在 IdP 和 SP 都配置为信任相同的特定 CA 时才有效。这将导致不会从 SP 退回到 IdP 并返回。

于 2020-07-03T02:57:40.233 回答