0

私は、エンタープライズ環境での SSO について頭を悩ませようとしており、どのソリューションが私の会社の問題に最も適しているかを調べています。

ドメインで実行されているいくつかのアプリ(ほとんどが.netですが、一部はjava)があります..a.mydomain.com、b.mydomain.comなど...

私の問題は、シングル サインオンを実装する方法を見つけようとすることにあります。私が見る限り、OpenID や OpenAuth などは、Facebook、Twitter、ベース SSO、つまり消費者ベースの SSO でリンクされているために使用されているためです。

内部SSOシステムのセットアップが必要ですが、これを行う方法と使用するプロトコル/フレームワーク/サーバーの企業の例が多くありません.

この場合に OpenID/OpenAuth をどのように使用する必要があるか、またその利点と欠点を教えてください。

また、トークンベースの SSO はこれに適していますか? すべてのアプリが同じドメインにあることを考慮してください(SSLがセットアップされています)。

最後に、Cookie ベースの SSO はどうですか? これは良い考えですか?

ありがとうニール

4

2 に答える 2

1

すべてのアプリが同じドメインにあり、内部 SSO ソリューションを探しているとおっしゃっていたように、Cookie ベースの SSO サービスをお勧めします。

  • 実装が容易になります。Cookie をチェックして、ユーザーにアプリへのアクセスを許可するだけです。
  • 異なるアプリ間で XML メッセージを交換する必要はありません (スキーマを設計する必要はありません)。
  • Web サービスの専門家を雇う必要はありません。(開発者が Cookie の処理方法を知っている限り)
  • 最終的には、スケーラビリティの要件によって異なります。

アップデート:

スケーラビリティ:

  • 将来的には、さまざまな地理的な場所にユーザー ベースを拡大する可能性があります。
  • アプリケーションごとにサーバーが異なり、ユーザー データベースが分散している可能性があります。
  • このような場合、ID リポジトリを維持して認証をサービスとして提供する必要があります (これは、あなたが言及した認証フレームワークによって行われます)。

クッキー:

  • Cookie の取り扱いはロケット科学ではありません。ブラウザは HTTP リクエストで自動的に Cookie をサーバーに送信します。ユーザーはそれを読み取るだけです。
  • ユーザーがログインするときに Cookie を作成します。ドメイン プロパティをルート ドメインに設定して、他のサブドメインがアクセスできるようにします。
  • ユーザーがアプリにログインしようとしたときに Cookie を確認します。Cookie が存在する場合は、ユーザーがすでにログインしていることを意味します。
  • ユーザーがログアウトするときにそれらを削除することを忘れないでください。
于 2013-01-30T11:14:57.417 に答える
0

Active Directoryフェデレーションサービス(http://msdn.microsoft.com/en-us/library/bb897402.aspx)は、エンタープライズソリューションです。セキュリティとパフォーマンスに関連するリスクがたくさんあるため、独自のトークン発行者を作成することはお勧めしません。

于 2013-01-30T12:24:22.627 に答える