現在、SSO ソリューションを拡張しようとしています。私の会社では、Tomcat で実行される JOSSO サーバーを使用して、ユーザーのシングル サインオンを有効にしています。ここで、ユーザーの Windows 資格情報を使用して、JOSSO サーバーに自動的にログインしたいと考えています。私はさまざまな手段を研究しました。Kerberos、Spnego、および Windows 統合認証ですが、それらがどのように連携するかはわかりません。
必要な物理コンポーネントと、それらが互いに大まかに通信する方法を誰か教えてもらえますか?
物理コンポーネントとそれらの連携は、次の場所に表示されます。
http://www.josso.org/confluence/display/JOSSO1/Architecture+Overview
WindowsではKerberosがNTLMと混在しているため
https://en.wikipedia.org/wiki/NT_LAN_Manager#Availability_and_use_of_NTLM
Microsoft は、相互運用性を向上させるために、Kerberos プロトコルの実装に NTLM ハッシュを追加しました。
実際の SSO テクノロジがその下で実行されている使用方法からは明らかではない場合があります。
たとえば、次のページに満足する必要があります。
Windows 認証のテスト 以前に作成したアカウント (user1 など) を使用して、Active Directory ドメインに関連付けられた Windows ワークステーションにログインします。Internet Explorer インスタンスを開き、JOSSO で保護されたリソース URL にアクセスします。ユーザー名とパスワードを要求することなく、保護されたリソースへのアクセスを透過的に許可する必要があります。
通常、SSO パートナー アプリケーションをホストする各コンテナにエージェントをインストールします。たとえば、Tomcat と JBoss にアプリケーションを展開している場合、各コンテナーにエージェントをインストールする必要があります。エージェントは、サービス プロバイダー (パートナー アプリケーション) ランタイム環境の一部です。
この構成を使用して、以下を設定できます。 シングル サインオン エージェントが、保護されたリソースへのアクセス要求でユーザーをリダイレクトして、ユーザーが認証できるようにするゲートウェイ ログイン URL。シングル サインオン エージェントがログアウト要求時にユーザーをリダイレクトするゲートウェイ ログアウト URL。Single Sign-On Gateway のサービスを呼び出すために使用される具体的な Service Locator。シングル サインオン パートナー アプリケーション この構成ファイルは、/partnerapp Web コンテキストに関連付けられたパートナー アプリケーションを 1 つだけ定義します。これは、/partnerapp Web コンテキストに関連付けられた Web アプリケーションがシングル サインオンの背後に置かれることを意味します。他のパートナー アプリケーションを定義できます。