SOA の方向に進んでいるときに、各サービスがサービス要求を認証および承認する方法が話題になりました。
しばらく前に投稿された次の質問を見て、それ以上の質問があるかどうか疑問に思っていました。
現在、アプリケーションにアクセスするユーザーの認証と承認を処理するセキュリティ サービスを作成中です。
検証を求めるサービスの問題に対処するために、メッセージで提供されるセキュリティトークンを他のサービスが検証できるように、このサービスに操作を追加することを考えていました。また、 Apache WSS4Jを使用してトークンを支援することも検討していました。
考え - 現時点では BPEL を視野に入れていないので、WSS4J を引き続き使用できますか?
はい - WSS4J を使用できますが、SOA では、認証と承認の概念は wss4j を超えています。Apache Axis2 と CXF には、wss4j を中心に開発されたラッパーがあり、WS-SecurityPolicy、WS-Trust などの Web サービス セキュリティ標準をサポートしていることがわかります。
また、承認に関しては、事実上の標準は XACML です。XACML は、SOA デプロイメントにポリシー ベースのきめ細かな承認モデルをもたらします。
WSO2 Identity Serverは、これらすべての機能をサポートするオープン ソース製品です。
[免責事項 : 私は WSO2 のアーキテクトです]
それは、デプロイしようとしている Web サービス フレームワークによって大きく異なります。
ほとんどの Web サービス フレームワークには、基本的なユーザー名トークン レベルで、またはバックエンド データベース、ldap、または xml 構成ファイル定義で saml サポートを提供する、何らかの認証および承認サービスが既にあります。Apache CXF、JBoss、Oracle SOA、WebSphere、Tomcat など。
デフォルトの機能がすでに達成しようとしているものを提供しているかどうかを調査する必要があります。