1

背景:顧客 X は低予算の非営利団体ですが、仮想ホスト上で多くのアクティビティが構成されており、仮想ホストは非常に頻繁に増加しています。顧客 X にも多くのユーザーがいて、シングル サインオン ソリューションに移行することに関心があります。このようにして、すべてのユーザーがすべての仮想ホストで同じ資格情報を使用できます。

[Shibboleth Single-Sign-on]( http://en.wikipedia.org/wiki/Shibboleth_(Internet2)を使用して認証を処理することもほぼ義務付けられています。

問題: Shibboleth Single Sign On はプロトコルの一部として SSL を使用していますが、複数の仮想ホストに SSL を使用させるのは簡単なことではありません。 SSL を使用した仮想ホストに関するこの質問では、いくつかの落とし穴について詳しく説明しています

質問:このシナリオを進める最善の方法は何ですか (要約):

  • Apache 上の複数の仮想ホスト
  • 仮想ホストごとに個別の IP と NIC を設定することは、ほとんどオプションではありません
  • SSL には別の IP が必要です
  • それらはすべて何らかの種類の SSO を必要とします
  • Shibboleth を SSO プロバイダーとして使用するよう強く求められています。

すべての仮想ホストに個別の IP を要求する以外に、ここで不足している可能性のあるもの、またはこれを解決する方法はありますか?

4

2 に答える 2

2

私はまったく同じ状況のクライアントを抱えており、彼らがそれを解決した方法は、ワイルドカード ドメイン *.example.com を購入し、この問題を回避するためにすべての仮想ホストに example.com で特定のサブドメインを持たせることでした。

これは Shibboleth によるもので、うまくいきましたが、ホスト ドメインが SSO の 1 つの親ドメインに分類されることに同意する必要があります。

于 2009-01-07T17:43:30.060 に答える
1

特定のサイト (サービス プロバイダー) と交換するデータ自体がセキュリティ上重要でない場合は、サイトにアクセスするために SSL をオフにするだけで済みます。

ここで話している SSL チャネルは 2 つあります。

  • SP が IDP と通信するときに使用されるもの
  • もう一方はサイトにアクセスしています

後者のみが「よく知られている」(支払わなければならない) 証明書である必要があります。

HTTP アーティファクトを使用して、idp (SSL で保護されている) からそうでない SP へのデータの POST を回避できます。このようにして、ブラウザのセキュリティ警告を回避できます。

このセットアップでは、ユーザー資格情報が引き続き保護されます。あなたがサイトと交換するデータはそうではありません。

于 2010-06-17T09:02:18.920 に答える