個別にログインせずに当社の Web サイトにアクセスできるように、パートナー企業に SSO を提供することを検討しています。パートナー企業は、他のパートナーと同様にイントラネット内で既に SSO を実装しています。SAML トークンを受信して、それらが有効であることを確認するだけで済みます (Browser/Post または Browser/Artifact プロファイルのいずれかを使用できます)。ドメイン ユーザーに SSO を実装する必要はありません。
質問: サード パーティによって発行されたこれらのトークンを受信して処理できるサービス (WCF を使用して) を実装する価値はありますか? または、ベンダー アプリケーション (SiteMinder、PingFederate など) を実装する必要がありますか?このフェデレーションで依拠当事者として行動することができます。
OpenAM Fedlet を使用して大きな成功を収めました。OpenAM は IDP の WAR ファイルを事前設定し、それを SP にデプロイします。次に、アプリケーションのセッション管理と統合して、ユーザーが認証されていることを伝える必要があります。SAML 2 のみを実行するため、非常に軽量であり、アプリケーションと共存できます。
OpenAM は、Sun-Oracle が OpenSSO の廃止を計画しているため、OpenSSO の新しい名前です。forgerock.com でホストされています。
また、Shibboleth SP について素晴らしいことを聞きました。これは、Apache またはこれまでの Web サーバーで CGI として実行されます。REMOTE_USER 変数を使用して、ユーザー ID をアプリケーションに伝えます。Shibboleth は、OpenSAML ライブラリに基づく Internet2 ミドルウェア プロジェクトです。
いくつかのオープンソースSAML実装のリストはここにあります。
OpenSSO、OpenSAML、Shibbolethが主要なオプションのようです。