Bonjour,

Voilà quelques jours que je cherche la solution pour valider une assertion SAML2.0 issue d'un client.

Ce client utilise un générateur d'assertion SAML tiers, qu'il ajoute dans l'entête soap. Je dois donc de mon coté vérifier cette assertion avant d'accéder au webservice.

J'utilise actuellement Axis2, j'ai donc regardé du coté de rampart, mais je suis perdu dans la mise en place d'une validation SAML. J'ai commencé par des exemples d'ajout de TimeStamp/UserToken/PWHandler.... Pour ça pas de problème, mais je n'ai pas trouvé ni dans les specs rampart ni sur le web d'information sur de la validation SAML.

J'ai donc mis un place un module axis2 "maison", c'est un Handler au niveau de la phase "Security" ou je récupère l'assertion SAML dans le SOAPHeader, ensuite avec la librairie opensaml j'effectue une validation.

N'étant pas certain que cela la bonne solution, j'aimerai avoir l'avis d'experts en Secu WS. Existe-il un moyen plus standard pour effectuer une validation SAML? Avec Ws-Policy WS-Trust...?

J'ai regardé aussi des tutos sur la mise en place c'est STS (Security Token Service) mais de ce que j'ai compris, c'est un WS qui génère une assertion SAML qui est ensuite transmise au client pour être validée coté serveur. Dans mon cas lors de l'appel au WS l'assertion est déjà présente dans la requête soap.

Si quelqu'un a déjà mis en place ce mécanise, j'aimerai bien avoir de l'aide.

Merci.