Disponibilité des extensions WIF pour le protocole SAML2?

Question

Nous concevons actuellement la sécurité d'un système, qui a un client WPF (.net 4) et Java Web Services (SOAP 1.2). Nous souhaitons utiliser la sécurité basée sur les revendications avec les jetons SAML.

Étant donné que nous avons un client .net, nous envisageons d'utiliser WIF.

Il y avait une version CTP des extensions WIF pour le protocole SAML2 en mai 2011, je n'ai pas été en mesure de trouver quelque chose de plus récent.

Quand les extensions WIF pour le protocole SAML2 seront-elles disponibles?

Si elles ne sont pas disponibles dans un proche avenir, pourrions-nous utiliser SAML 1.1 avec SOAP 1.2?

Answer 1

Vous n'avez probablement pas besoin de WIF du tout pour ce scénario. WCF prend en charge les liaisons de sécurité basées sur les revendications. Vous aurez juste besoin de configurer WCF pour cela.

Vous pouvez utiliser WIF pour demander un jeton de sécurité à partir du STS auquel le service Web Java fait confiance, mais cela est facultatif. Bien sûr, étant un scénario d'interopération, je suggère fortement une preuve de concept, car toutes les piles sont égales, mais certaines sont plus égales que d'autres en ce qui concerne les implémentations standards.

Notez qu'une source courante de confusion est le fait que SAML est à la fois un protocole (comme dans les messages échangés entre clients, serveurs et STS) et un format de jeton. Par exemple, SAML-P (un protocole) utilise des jetons SAML, tout comme WS-Federation (un autre protocole).

Examinez l'un des échantillons "actifs" au format WIF ou au this guide.