18

私はこの問題がどのように解決されるかを1か月以上理解しようとしています。私は本当にうまくいく一般的なアプローチを考え出す必要があります。私には理論がありますが、それが最も簡単な(または正しい)アプローチであるかどうかはわかりません。また、自分のアイデアを裏付ける情報を見つけることができませんでした。

シナリオは次のとおりです。

1)サブスクリプションベースで安全なコンテンツを提供する複雑なWebアプリケーションがあります。

2)ユーザーは、ユーザー名とパスワードを使用してアプリケーションにログインする必要があります。

3)すでに企業認証テクノロジ(Active Directoryなど)を備えている大企業に販売します。

4)企業認証メカニズムと統合して、ユーザーがユーザー名とパスワードを入力せずにWebアプリにログオンできるようにします。

今、あなたが思いついたどんな解決策も、以下のためのメカニズムを提供しなければなりません:

  • 新しいユーザーの追加
  • ユーザーの削除
  • ユーザー情報の変更
  • ユーザーがログインできるようにする

理想的には、企業顧客が自分の認証に対応する変更を加えたときに、これらすべてが「自動的に」発生します。

これを行う方法(少なくともActive Directoryの場合)は、顧客のActive Directoryと統合して対象の変更を追跡するクライアント側のアプリを作成し、それらの変更を自分のWebアプリ。この通信が私のWebアプリによって提供されるWebサービスを介して行われた場合、ハッキングできないレベルのセキュリティが維持されると思います。これは明らかにこれらの企業顧客の要件です。

Active Directoryフェデレーションサービス(ADFS)と呼ばれるMicrosoft製品に関する情報を見つけました。これは、私にとって正しいアプローチである場合とそうでない場合があります。それは少しかさばるようで、すべての顧客にとってうまくいかないかもしれないいくつかの要件があります。

他の既存のIDシナリオ(AthensやShibbolethなど)の場合、クライアントアプリケーションは必要ないと思います。おそらく、既存のIDサービスに結び付けるだけの問題です。

私がここで言及したことについて誰かが何かアドバイスをいただければ幸いです。特に、サーバー側のWebサービスと通信するクライアント側のアプリを提供することについての私の理論が正しいかどうか、または私が完全に間違った方向に進んでいるかどうかを教えてください。また、その方法を説明しているWebサイトや記事を教えていただければ幸いです。私の研究は今のところあまり明らかにされていません。

最後に、現在このサービスを提供しているWebアプリケーション(特に企業のActive Directoryに関連付けられているもの)を教えていただければ幸いです。salesforce.comやhoovers.comのような他のB2BWebアプリが、企業顧客に同様のサービスを提供しているかどうか疑問に思っています。

私は暗闇にいるのが嫌いで、あなたが当てることができるどんな光でも大いに感謝します...

ジェレミー

4

2 に答える 2

3

Shibbolethは、まさにこのシナリオをサポートするように設計されています。ただし、IDプロバイダーメカニズムを実装している顧客の企業に依存します。現時点では、それは大学でのみ本当に一般的です。さらに、ユーザー情報(単なる仮名識別子以上のもの)が必要な場合は、会社がそれらの属性を公開することに同意する必要があります。

SSOを提供するためだけに、多くの企業が企業認証システムを公開することは信じられません。

OpenIDなどに依存し、「remember me」Cookieを使用して、ユーザーがパスワードを入力する必要性を減らす方がよい場合があります。

于 2010-04-02T22:54:21.487 に答える
2

このアプローチの基本的な問題の1つは、Webアプリを個別に検討していることです。クライアントの会社の従業員は、WebアプリへのSSOだけでなく、一部/少数/多数の他のユーザーも必要とします。アプローチを拡張するには、アクセスを有効にするために、それぞれに特注の実装が必要になります。

したがって、ローカルで発行されたクレデンシャルの使用を活用するために、大学図書館コミュニティでOpenAthensとShibbolethが広く採用されています。典型的な中規模/大規模の大学は、50以上の異なる発行元からのさまざまな製品/サービスをサブスクライブでき、OpenAthens / Shibbolethを展開することで、SAMLオープンスタンダード(SAMLはShibbolethが使用するプロトコル)を利用できます。学術部門だけでなく、商業部門でも上昇しています。

上記のJohnの回答は、別の問題を示しています。最近登場したオープンスタンダードには、SAMLとOpenIDがあります。そのため、コンテンツプロバイダーは、これらの一部またはすべてをネイティブに実装するかどうかを決定する必要がありますが、個別のテクノロジースタックを使用するため、実装とサポートのコストを重複させることができます。

かなりの数の主要なパブリッシャーがOpenAthensを実装しています。これは、単一のプラットフォームでアテネ、SAML / Shibboleth、OpenIDをサポートし、他のテクノロジーもプラグインするオプションや、請求書や資格などの内部アプリが接続できるようにするカスタムモジュールを作成するためです。クライアントのユーザーがログインしているシステム記録。

アクセス管理のこのセクターは間違いなくオープンスタンダードに移行しているため、独自の方法を構築すると、多数のユーザーがアプリにアクセスできなくなります。

于 2010-04-03T12:46:57.113 に答える