さまざまなWebサイトでシングルサインオン(つまり、単一の共有IDストアに対して認証する単一のユーザー資格情報のセット)を実装するためのオプションを検討しています。
すべてのWebサイトは名目上同じ組織に属していますが(したがって、それらの間の信頼できる関係を想定できます)、異なるドメインでホストされ、異なるテクノロジーにまたがっています。.NET、Java、PHP。
すべてのユーザープロファイルを単一のバックエンドCRMシステムに統合しており、現在(および将来)のすべてのWebプロパティにこれへの堅牢なアクセスを提供するための何らかの方法が必要です。
初期のSAMLプロバイダーが実行されており、デフォルトのオプションは、これへのアクセスを(現在)サポートされていないすべてのプロパティに拡張することです。これは最良のオプションですか?SSO製品(CAS、CoSignなど)へのすべてのオンライン参照は非常に古いようです(2004年以降)。
.NETをサポートするMicrosoftのADFSv2.0をご覧ください
これを行う商用製品(PingIdentityなど)とオープンソース製品(OpenAMなど)があります。
これらの製品はすべてSAMLをサポートしています。
Javaの場合は、OpenAMのようなものをその前に置くか、OpenSSO/OpenAMフェドレットを使用します。
PHPの場合は、simpleSAMLphpを使用します。
現在の参照を取得するために使用するキーワードは、「SAMLフェデレーション」です。
SAMLベースの製品とサービスを参照する
ここでSAMLプロトコルを使用することは非常に理にかなっています。あなたの会社がその方向に進むことを決定した場合、それはあなたがクラウドベースのサービスと連携することさえ可能にするかもしれません。
SAMLでは、共通のDNSルートを持つ完全修飾ドメイン名を使用してターゲットサーバー(MS用語では「サービスプロバイダー」または「依存関係者」)を参照する必要はありません。また、テクノロジーに依存しないため、サービスプロバイダーが実行しているHTTPスタックは実際には関係ありません。
バックエンドCRMシステムで使用できるインターフェイスはわかりませんが、LDAPまたはSQL接続は通常、IDクレーム情報を取得してSAML応答を構築するために使用されます。
調査したいIDプロバイダー製品には、Microsoft ADFS、PortalGuard(私が働いている)、Pingなどがあります。