Выбор технологии безопасности SAML + SOAP в приложении Spring Boot

Question

В приложении Spring Boot + Spring Integration какую технологию / библиотеку следует выбрать для подписания и проверки SOAP запросов с помощью SAML? (Не для единого входа)

Глядя на: Wss4j / Wss4j2, CXF или Spring Security

Контекст

В настоящее время мы работаем над созданием служебной шины с использованием SOAP, для которого требуется использовать SAML. Который должен быть в состоянии потреблять и производить с подписанным с SAML.

Мы попытались применить Wss4jSecurityInterceptor к клиенту spring.ws, и у нас возникли проблемы с созданием callbackHandler, который предоставляет Wss4j информацию, достаточную для правильного применения утверждения SAML к исходящему вызову. (Отладка методом «проб и ошибок» у меня далеко ушла, потому что она кажется утомительной за пределы разумного).

Попытка получить представление о любых существующих callbackHandlers, которые мы могли бы использовать, мы создали следующее более конкретный c вопрос. Кто-нибудь успешно использовал Wss4jSecurityInterceptor для Spring.WS для безопасности SAML с SAMLCallbackHandler в приложении Spring Boot?

На пороге отказа от Wss4j мы обсуждаем альтернативы, которые привели нас к Следующие мысли и что мы знаем о технологиях. Это то, что мы надеемся получить больше информации о:

Wss4jSecurityInterceptor

• Из org.springframework.ws. soap .security.wss4j2
• Невозможно найти хорошие примеры callbackHandler для SAML, которые не находятся внутри тестовых библиотек или иным образом используют недоступные зависимости maven / gradle.

CXF

• Использует Wss4J под капотом
• На основе wsdl. Обеспечивает выполнение необходимых шагов, необходимых для wsdl. Спецификация Wsdl от:
  • xmlns = "http://schemas.xmlsoap.org/wsdl/" name = "Политики безопасности"
  • xmlns: wsu = "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" lns: wsp = "http://schemas.xmlsoap.org/ws/2004/09/policy" wsu: Id = "wss11_saml20_sendervouches_token_mutual_authn_sign_encrypt"
• Мы не контролируем предоставленные wsdl-файлы, и это может быть проблематично c.
• Относительно CXF, мы знаем людей, которые имеют заставил это работать.

Spring Security SAML

• На бумаге это выглядит хорошо, но кажется, что оно больше ориентировано на SSO ,
• Расширение SAML для Spring Security имеет очень мало применений, когда мы смотрим на репозитории maven, что нас немного беспокоит.
• Мы не уверены, придется ли нам реализовывать или нет callbackHandler с нашими знаниями о предоставлении необходимых свойств для SAMLCallback.