Можно ли использовать Brokered Kerberos Authentication для веб-сервисов через Интернет? Я смотрю на безопасность веб-сервисов для среды, в которой уже есть Active Directory. Из-за существующей архитектуры веб-сервисы будут довольно болтливыми, и я не контролирую эту архитектуру. Для выполнения одного бизнес-процесса может потребоваться до 6 вызовов веб-служб.
Существует проблема с многократной аутентификацией, и это повлечет за собой дополнительные расходы. Из моего первоначального прочтения аутентификации через брокер Kerberos, после предоставления учетных данных пользователя будет возвращен токен безопасности Kerberos, и аутентификация не требуется для каждого вызова веб-службы.
Я предполагаю систему, в которой учетные данные пользователя передаются в Active Directory через вызов веб-службы и возвращается маркер Kerberos. Этот токен затем используется для всех последующих вызовов веб-службы.
Это возможно, или я иду по касательной? Если я иду по касательной, есть ли предпочтительный подход для этого? Я закончил читать документ «Безопасность веб-служб Microsoft: сценарии, шаблоны и руководство по внедрению для WSE 3.0», но все еще немного неясен.