SAMLToken con X509Token simétrica para protección de mensajes

Para la autenticación se utiliza una señal SAML. La señal SAML de la solicitud y el cuerpo SOAP de la solicitud y respuesta se firman y se cifran con protección de mensaje simétrica X509Token. Hay también una indicación de fecha y hora del mensaje.

Con protección simétrica X509Token se crea una clave efímera para firmar y cifrar el mensaje. La clave efímera se cifra utilizando el certificado público del receptor.

En este ejemplo, la referencia de señal utiliza una RequireThumbprintReference. Puede cambiar la política para que utilice una RequireIssuerSerialReference o una RequireKeyIdentifierReference. Puede modificar también esta política para utilizar claves derivadas de una clave efímera para asegurar el intercambio de mensajes añadiendo una aserción <sp:RequireDerivedKeys />. Cuando mejor se utiliza esta plantilla de política es si el cliente puede utilizar solo una señal SAML para autenticarse a sí mismo y si se debe firmar y cifrar el intercambio de mensajes.

La política siguiente muestra una señal de SAML para autenticación y una X509Token simétrica para la protección de mensaje:
<wsp:Policy wsu:Id="X509SymmetricForMessageAndSamlForClient">
  <wsp:ExactlyOne>
    <wsp:All>
      <sp:SignedEncryptedSupportingTokens
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
        <wsp:Policy>
          <sp:SamlToken
                sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient">
            <wsp:Policy>
              <sp:WssSamlV20Token11/>
            </wsp:Policy>
          </sp:SamlToken>
        </wsp:Policy>
      </sp:SignedEncryptedSupportingTokens>
      <sp:SymmetricBinding>
        <wsp:Policy>
          <sp:ProtectionToken>
            <wsp:Policy>
              <sp:X509Token
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/Never">
                <wsp:Policy>
                  <sp:RequireThumbprintReference />
                  <sp:WssX509V3Token10 />
                </wsp:Policy>
              </sp:X509Token>
            </wsp:Policy>
          </sp:ProtectionToken>
          <sp:AlgorithmSuite>
            <wsp:Policy>
              <sp:Basic128 />
            </wsp:Policy>
          </sp:AlgorithmSuite>
          <sp:Layout>
            <wsp:Policy>
              <sp:Strict />
            </wsp:Policy>
          </sp:Layout>
          <sp:IncludeTimestamp />
          <sp:OnlySignEntireHeadersAndBody />
          <sp:EncryptSignature />
        </wsp:Policy>
      </sp:SymmetricBinding>
      <sp:Wss11>
        <wsp:Policy>
          <sp:MustSupportRefKeyIdentifier />
          <sp:MustSupportRefIssuerSerial />
          <sp:MustSupportRefThumbprint />
          <sp:MustSupportRefEncryptedKey />
          <sp:RequireSignatureConfirmation />
        </wsp:Policy>
      </sp:Wss11>
      <sp:SignedParts>
        <sp:Body />
      </sp:SignedParts>
      <sp:EncryptedParts>
        <sp:Body />
      </sp:EncryptedParts>
    </wsp:All>
  </wsp:ExactlyOne>
</wsp:Policy>

Icono que indica el tipo de tema Tema de concepto

Nombre de archivo: cwlp_wssec_templates_scenario11.html