问题标签 [ws-trust]

我需要使用 SAML 身份验证调用 SOAP Web 服务。他们期望 saml 令牌作为 SOAP 请求的一部分（这应该不是问题）。

IDP 上的实际身份验证必须使用客户端证书（私钥）完成，但无需任何用户交互。据我了解，https://www.itfoxtec.com/IdentitySaml2上的示例基于基于浏览器的重定向身份验证。

问题：是否可以通过客户端证书在 IDP 上进行身份验证，而无需使用 ITfoxtec.Identity.Saml2 库进行用户交互？如果是的话，你能否指出我如何做到这一点，或者是否有这样一个用例的样本？

我需要有关 SAML 和 WS-Security 架构（或可能完全不同的标准？）的帮助。

我有以下独立于平台的场景，我需要使用客户端认证身份验证来保护这些场景。场景不是交互式的，仅涉及 Web 服务客户端 (1)。

(1) WS 客户端 -> (2) WS 上的服务提供者 (SP) -> (3) 身份提供者 (IdP)

• (1) 在其机器上有客户端证书并调用 (2)
• (2) 具有 (1) 需要消费的服务
• (3) 能够使用客户端证书对 (1) 客户端进行身份验证

我的问题是如何使用 SAML、WS-Trust 或其他安全标准来涵盖此场景。

谢谢

我正在从安全令牌服务请求令牌，但由于某种原因，请求 (RequestSecurityToken) 参数未被应用/覆盖。

绑定和通道以编程方式配置：

日志中的第一个跟踪(source=ServiceLevelSendRequest) 显示所有参数都已正确应用（令牌类型 = SAMLV1.1）：

第二个跟踪（source=ServiceLevelSendRequest）具有不同的 MessageID 并更改请求的主体（令牌类型？）

第三个跟踪(source=TransportSend) 具有与第二个跟踪相同的 MessageID，并确认请求参数已被覆盖（令牌类型 = sct）。

我不确定为什么第二个日志跟踪显示不同的 MessageID，似乎消息在序列化过程中被修改。有没有办法禁用这种行为？

我必须编写一个依赖于 WSO2 身份服务器颁发的 SAML2 令牌的 .NET WCF 服务。来自 wst:secondaryparameters 的所有内容（例如声明）都由 WSO2 安全令牌服务验证。我无法做到这一点，因为 WSO2 似乎忽略了辅助参数。如果我直接在 RequestSecurityToken 下请求声明，则它们在 RSTR 中得到正确验证。

这是我使用 Soap-UI 创建的示例 RST，用于测试目的：

...以及 WSO2 STS 收到的 RSTR - 缺少要求的索赔：

如何从 WSO2 STS 正确请求 WS-Trust 1.4 中指定的辅助参数？