메시지 보호를 위한 X509Token 대칭의 SAMLToken
SAML 토큰은 인증에 사용됩니다. 요청의 SAML 토큰 및 요청과 응답의 SOAP 본문은 X509Token 대칭 메시지 보호로 서명되고 암호화됩니다. 또한 메시지 시간소인도 있습니다.
X509Token 대칭 보호에서는 메시지를 서명하고 암호화하기 위해 일시적키가 작성됩니다. 일시적키는 수신자의 공용 인증서를 사용하여 암호화됩니다.
다음 샘플에서 토큰 참조는 RequireThumbprintReference를 사용하고 있습니다. RequireIssuerSerialReference 또는 RequireKeyIdentifierReference를 사용하도록 정책을 변경할 수 있습니다. 또한 <sp:RequireDerivedKeys /> 어설션을 추가함으로써 메시지 교환의 보안을 위해 일시적키에서 파생된 키를 사용하도록 이 정책을 수정할 수도 있습니다. 이 정책 템플리트는 클라이언트가 SAML 토큰만을 사용하여 자신을 인증할 수 있는 경우와 메시지 교환을 서명하고 암호화해야 하는 경우에 가장 알맞게 사용됩니다.
다음 정책은 메시지 보호를 위한 X509Token 대칭 및 인증을 위한 SAML 토큰을 보여줍니다.
<wsp:Policy wsu:Id="X509SymmetricForMessageAndSamlForClient">
<wsp:ExactlyOne>
<wsp:All>
<sp:SignedEncryptedSupportingTokens
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
<wsp:Policy>
<sp:SamlToken
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient">
<wsp:Policy>
<sp:WssSamlV20Token11/>
</wsp:Policy> </sp:SamlToken>
</wsp:Policy> </sp:SignedEncryptedSupportingTokens>
<sp:SymmetricBinding>
<wsp:Policy>
<sp:ProtectionToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/Never">
<wsp:Policy>
<sp:RequireThumbprintReference />
<sp:WssX509V3Token10 />
</wsp:Policy> </sp:X509Token>
</wsp:Policy> </sp:ProtectionToken>
<sp:AlgorithmSuite>
<wsp:Policy>
<sp:Basic128 />
</wsp:Policy> </sp:AlgorithmSuite>
<sp:Layout>
<wsp:Policy>
<sp:Strict />
</wsp:Policy> </sp:Layout>
<sp:IncludeTimestamp />
<sp:OnlySignEntireHeadersAndBody />
<sp:EncryptSignature />
</wsp:Policy> </sp:SymmetricBinding>
<sp:Wss11>
<wsp:Policy>
<sp:MustSupportRefKeyIdentifier />
<sp:MustSupportRefIssuerSerial />
<sp:MustSupportRefThumbprint />
<sp:MustSupportRefEncryptedKey />
<sp:RequireSignatureConfirmation />
</wsp:Policy> </sp:Wss11>
<sp:SignedParts>
<sp:Body />
</sp:SignedParts>
<sp:EncryptedParts>
<sp:Body />
</sp:EncryptedParts>
</wsp:All>
</wsp:ExactlyOne>
</wsp:Policy>