Контроль доступа WSO2 Сервер идентификации на основе SAML/XACML

Question

Мне нужно, чтобы обеспечить SOAP веб-службы (на основе Axis2) с такой конфигурацией:

1. Клиент пытается потреблять услугу
2. Клиент перенаправляется на сервер аутентификации для аутентификации
3. Если клиент аутентифицирован правильно, сервер аутентификации дает клиенту маркер SAML с его атрибутами (в основном роль)
4. Существует политика XACML (клиент может использовать операцию, предоставляемую веб-службой, только если имеет надлежащую роль), который оценивается на основе роли, включенной в токен SAML.

Так что я подумал об использовании WSO2 Identity Server в сочетании с валом (мне также нужна WS-Security для шифрования и подписи). Можно ли это сделать? Можете ли вы мне предложить?

Answer 1

Вы можете либо использовать WSO2 IS STS (который является WS- *), либо SSO SAML для веб-браузера. В зависимости от характера вашего приложения (на основе веб-браузера или нет) вы можете выбрать любой из указанных выше способов. Вы можете получить роли пользователя из ответа SAML.

Однако, если вы используете XACML, вам не нужно получать роли пользователя над SAML. Просто создайте политику в WSO2 IS (с требуемой ролью и другими условиями). Затем создайте модуль PEP для проверки запросов на обслуживание. WSO2 IS получит имя пользователя и прочитает роли пользователя из LDAP/userstore и выполнит проверку.