2

の要件がありますcross domain sso。ということで、で選びOpenAMましたSAML。異なるサーバーとホストでホストされている 2 つのアプリケーションを実装する必要がありますSSO。今、私はについて読みましOpenAM with SAMLたが、セットアップに関する核となるアイデアを得ることができました. LDAPユーザーデータストアとして使用されます。今、私は何かを念頭に置いており、それが私の要件を満たしているかどうかを確認したいと考えています。

  1. SSO の実装が必要な2 つのアプリケーション (AppAおよび) があるためです。AppBサービス プロバイダーとして構成された 2 つの OpenAM が必要ですか? 異なるTomcatコンテナにデプロイする必要がありますか? それぞれをおよびservice providersにデプロイする必要がありますか?AppAAppB
  2. identity providerOpenAM用に別の Tomcat コンテナーが必要ですか?
  3. spに登録する必要がidpあり、同じ?内idpに登録する必要があります。spCircle of trust

他に何かしなければなりませんか?LDAP繰り返しますが、それぞれに個別に構成する必要がidpありspますか? とにかく、私の場合、理想的なセットアップは何ですか?

4

2 に答える 2

1

IdP が 1 つ必要です。アプリは SP を実装する必要があります。アプリが Java ベースの場合は、OpenAM の Fedlet を活用するか、Spring Security SAML 拡張機能を使用できます (魅力的に機能します)。

PHP SAML SP もあり、Apache http サーバー SAML モジュールさえあります...

または、SAML SP も実装するリバース プロキシ (ただし、これは Java Web アプリです) として OpenIG を使用することもできます。

-ベルンハルト

于 2013-08-29T09:14:21.120 に答える
0

OpenAM をすぐに使用できるもう 1 つの解決策は、OpenAM ID フェデレーションを使用することです。

  1. この投稿で説明されているように、標準の OpenAM Identity フェデレーション セットアップ (IDP および SP を使用) を使用します: http://fczaja.blogspot.com/2012/06/idp-initiated-sso-and-identity.html
  2. AppA には IDP、AppB には SP、またはその逆が必要です。IDP がユーザー ストアに接続されます。
  3. SP 側では、OpenDS などを使用してダミーのユーザー ストアを作成します。
  4. すべてのユーザーを IDP から SP にインポートします (スケジュールされた毎日のバッチ ジョブを使用)
  5. 1 つ以上のユーザー属性に基づいて自動フェデレーションを実装します。
  6. SP 側で OpenAM 認証機能を使用して、SP 側アプリへのアクセスを許可します
于 2014-05-07T05:50:25.620 に答える