Internet上的代理Kerberos web服务安全性

Question

是否可以对Internet上的web服务使用代理Kerberos身份验证？我正在考虑已有Active Directory的环境的web服务安全性。由于现有的体系结构，web服务将非常繁琐，我无法控制此体系结构。执行一个业务流程可能需要多达6个web服务调用。

存在多次身份验证的问题，以及由此产生的开销。根据我最初对代理kerberos身份验证的了解，一旦提供了用户凭据，就会返回一个Kerberos安全令牌，并且不需要对每个web服务调用进行身份验证。

我设想了一个系统，其中用户凭据通过web服务调用传递到Active Directory，并返回Kerberos令牌。然后，该令牌用于所有后续的web服务调用。

这是可能的吗，还是我正在偏离正题？如果我在一个切线上前进，有没有更好的方法？我已经读完了Microsoft Web Service Security: WSE 3.0的场景、模式和实现指南，但仍然不太清楚。

Answer 1

考虑利用SAML协议作为通过WS-Security交换断言的一种方式。