Ich versuche zum ersten Mal SAML-fähige SOAP-Dienste zu implementieren, und ich habe einige konzeptionelle Fragen bezüglich der Rolle eines Secure Token Service (STS) in einer SAML-Implementierung.Brauchen wir unbedingt einen STS für SAML?
Benutzer ---> Web Application --- SOAP/SAML -> Messaging Application
Grundsätzlich ist das Szenario ist, dass sich der Benutzer in der Web-Anwendung sein Benutzernamen und ein Passwort, Web-Anwendung wiederum authenticate und Autorisieren des Benutzers mit einem externen Dienst, bei erfolgreicher Authentifizierung/Autorisierung erstellt die Webanwendung eine SAML-Zusicherung des Absenders mit dem Benutzer als Subjekt, signiert die Assertion mit ihrem privaten Schlüssel, verpackt die Assertion in einen Soap-Umschlag unter Verwendung von WS-S und macht a SOAP-Aufruf an die Messaging-Anwendung. Sobald die Messaging-Anwendung die Anforderung empfängt, überprüft sie die Signatur mit dem öffentlichen Schlüssel der Webanwendung, zieht die Authentifizierungs- und Attributanweisungen aus der SAML-Assertion und basierend darauf die Authentifizierungsrichtlinie für den Endpunkt durch.
Wie Sie im obigen Szenario sehen können, gab es keine externe STS beteiligt, aber die meisten Literatur, die ich auf SAML gelesen habe, legen nahe, dass ein STS unbedingt erforderlich ist. Die Frage, die ich habe, ist, dass ich mit dem obigen Szenario etwas falsch mache, da ich keinen Grund sehe, warum ich unbedingt eine STS brauchen würde. Sicher, es wäre schön, eine STS zu haben, aber meiner Meinung nach hindert mich die Abwesenheit davon nicht daran, SAML für meinen Anwendungsfall zu implementieren.
Das macht Sinn. Danke für deinen Kommentar –