SAML + Web 服务客户端 + 客户端证书

Question

我需要有关 SAML 和 WS-Security 架构（或可能完全不同的标准？）的帮助。

我有以下独立于平台的场景，我需要使用客户端认证身份验证来保护这些场景。场景非交互式，仅涉及 Web 服务客户端 (1)。

(1) WS 客户端 -> (2) WS 上的服务提供者 (SP) -> (3) 身份提供者 (IdP)

• (1) 机器上有客户端证书并调用 (2)
• (2) 具有 (1) 需要使用的服务
• (3) 能够使用客户端证书对 (1) 客户端进行身份验证

我的问题是如何使用 SAML、WS-Trust 或其他安全标准来涵盖此场景。

谢谢

Answer 1

几乎可以使用任何“联合”协议 - OIDC、SAML、WS-Fed、WS-Trust……任你选择。

1. 浏览器导航到 SP。
2. SP 说“我不认识你”，并通过适用于上述所选协议的身份验证请求将您重定向到 IdP
3. IdP 说“我不认识你，验证！”
4. 浏览器提供认证证书
5. IdP 验证证书，并构建适合所选协议的“断言”。
6. IdP 将您重定向回带有断言的 SP
7. SP 验证断言并让浏览器进入

在列出的协议中...只有 WS-Trust 的工作方式略有不同...在 WS-Trust 中，根据 SP 和 IdP 的实际身份，SP 可以要求浏览器提供一个证书，SP 可以在 STS 调用中要求 IdP 进行身份验证。这仅在 IdP 和 SP 都配置为信任相同的特定 CA 时才有效。这将导致不会从 SP 退回到 IdP 并返回。