問題タブ [single-sign-on]

私は現在、複数のドメインにまたがるプロジェクトに取り組んでいます。私が望むのは、ユーザーが 1 つのサイトにログインし、同時に他のすべてのサイトにログインできるようにすることです。

ユーザー セッションはデータベースに保存され、各ドメインに設定した Cookie にはセッション ID が含まれています。

基本的に、ユーザーが example.com にログインすると、セッション ID を使用して Cookie が作成され、セッション データがデータベースに保存されます。これが完了したら、この一意のセッション ID を持つ他のすべてのドメインで Cookie を作成する必要があります。これにより、ユーザーがサイト間を移動するときに自動的にログインできるようになります。

今、Firefoxでこれを行う方法を見つけました（他のドメインでPHPスクリプトを実行するイメージタグを使用し、基本的に異なるドメインで異なるCookieを作成します）が、この方法はIEでは機能しません（Operaまたはサファリなどはまだ）。

これを IE で動作させる方法について、誰かアイデアはありますか?

私は Kerberos についてあまり知らないと仮定してみましょう。基本的なことだけです。

私は持っている...

• Debian Linux 2.6 ウェブサーバー
  • アパッチ 2.2
    • mod_auth_kerb/5.3
    • PHP/5.2
• (動作中の) Kerberos レルム
• Windows クライアント
  • Firefox 3
  • MIT Network Identity Manager のログイン ID「user@EXAMPLE.COM」

訪問者がそのような kerberos チケットを持っている場合に Web サイトにログインする必要がないように、PHP スクリプトでこの情報を使用するにはどうすればよいですか? Apache に認証を処理させたくありません。PHP 経由でサイトにアクセスしているユーザーを特定する必要があります。

それは可能ですか？もしそうなら：どのように？

これまでにわかったこと: Firefox でドメインを「有効」にする必要があります。

とはいえ、そこまで...

BizTalk Server 2006 (R2 ではない) の新規インストールを構成しようとしているときに大きな問題が発生しています。サーバーには以前に BizTalk がインストールされていて、正常に動作していました。BizTalk をアンインストールし、別のマシンである SQL サーバーからデータベースとジョブを削除し、BizTalk を再インストールしました。インストールは成功し、インストール中にエラーは発生せず、インストール ログにも何も記録されませんでした。

BizTalk サーバーを SSO マスター シークレット サーバーとして構成し、新しい BizTalk グループを作成して BizTalk ランタイムを登録しています。SQL サーバーで SSO データベースを作成すると、プロセスは常にエラーになります。ConfigLog にはMSSQLServerOLAPService does not exist、SSO データベースの作成に関するエラーを示すいくつかの警告があります。4つ並んでいます。順番に、それらは次のとおりです。

次に、各 BizTalk データベースを作成しようとすると、同様のエラーが発生します。

SQL サーバーでは、SQL サーバー ログに対応するエラーがあります - ユーザー '[ユーザー名]' のログインに失敗しました。[クライアント: [IP アドレス]] エラー: 18456、重大度: 14、状態: 16

SQL ログの最初のエラーは、SQL サーバーのアプリケーション イベント ログにも失敗の監査として表示されます。

これに関する最大の問題は、BizTalk サーバーにログオンしているユーザーが、BizTalk サーバーと SQL サーバーの両方のローカル管理者であり、SQL sysadmin グループに属していることです。BizTalk サービスを実行するように構成しているユーザーは、両方のサーバーと SQL サーバーの sysadmin グループのローカル管理者でもあります。両方のマシンで MSDTC 設定を確認し、BizTalk ドキュメントの推奨どおりに設定されていることを確認しました。SQL Browser は SQL マシンで実行されており、SQL Surface Area Configuration ツールを使用してネットワーク アクセスが許可されていることを確認しました。

私が見逃したかもしれない何かを見つけるのを手伝ってくれる人はいますか?

Re: イガル:

はい、すべてのサーバーとユーザーは同じドメインにあります。これを調査する際にSQLプロトコルに関するその投稿に出くわしましたが、別のデータベースに接続しているときに、ログインしているユーザーのデフォルトデータベースのテーブルの1つからカウントを選択しようとしました. そのクエリの実行にまったく問題はありませんでした。

Re: ヨッシー:

Windows Server 2003 R2 SP1 に BizTalk をインストールしています。はい、SSODB を削除しました (そのようなものを見逃すことはありません!)。ユーザー名が正しく提供されていることを確認し、リンクしたソースを確認して返信します。

MOSS 2007 のシングル サインオン機能を使用したいのですが、サーバーが Active Directory 環境にある必要があることを読みました。これは理解できますが、すべてのユーザーが Active Directory ユーザーでなければならないということですか? ユーザーがフォーム認証を使用して (カスタム メンバーシップ プロバイダーを使用して) 認証されている場合、MOSS2007 シングル サインオンを使用できませんか?

背景:顧客 X は低予算の非営利団体ですが、仮想ホスト上で多くのアクティビティが構成されており、仮想ホストは非常に頻繁に増加しています。顧客 X にも多くのユーザーがいて、シングル サインオン ソリューションに移行することに関心があります。このようにして、すべてのユーザーがすべての仮想ホストで同じ資格情報を使用できます。

[Shibboleth Single-Sign-on]( http://en.wikipedia.org/wiki/Shibboleth_(Internet2)を使用して認証を処理することもほぼ義務付けられています。

問題: Shibboleth Single Sign On はプロトコルの一部として SSL を使用していますが、複数の仮想ホストに SSL を使用させるのは簡単なことではありません。 SSL を使用した仮想ホストに関するこの質問では、いくつかの落とし穴について詳しく説明しています。

質問:このシナリオを進める最善の方法は何ですか (要約):

• Apache 上の複数の仮想ホスト
• 仮想ホストごとに個別の IP と NIC を設定することは、ほとんどオプションではありません
• SSL には別の IP が必要です
• それらはすべて何らかの種類の SSO を必要とします
• Shibboleth を SSO プロバイダーとして使用するよう強く求められています。

すべての仮想ホストに個別の IP を要求する以外に、ここで不足している可能性のあるもの、またはこれを解決する方法はありますか?

Windows では、ユーザー名とパスワードを入力する通常のログインを行わずに、NTLM プロトコルを使用して Windows からの資格情報を直接使用して、Web ブラウザーから Web サーバーにログインできると聞きました。

これはどのように達成されますか？Web サーバーは追加の認証をサポートする必要がありますか?

更新: IIS だけでなく、一般的な Web サーバーを求めています。たとえば、Apacheでそれを行う方法は?

私はPerl 5.10を持っています。シングル サインオン方式を使用してサーバーに接続するにはどうすればよいですか? サーバーにサービス チケットを送信し、サーバーから返された資格情報を保存する必要があります。

Win32::IntAuthこれには便利ですか？Win32::IntAuthスクリプトでモジュールを使用するにはどうすればよいですか? Win32::IntAuthモジュールを Perl v5.10 にインストールしました。

この問題の解決策とテスト スクリプトを提案してください。

.NET プラットフォーム用のOpenSSO ( https://opensso.dev.java.net/ ) や ESOE ( http://esoeproject.org/ ) などはありますか?

一般的な SSO のベスト プラクティスに関するこの質問に似たものがあります。無効になっている、または何らかの理由で到達できない中央 ID プロバイダーに対処するための最良のアプローチは何ですか。Web サイトで、ユーザーが一元的に保存された資格情報でログインできるようにし、中央サービスが機能していないか到達できない場合は、次のことを行います。

• ユーザーがローカル サイトで資格情報を再入力できるようにして、Web アプリケーション (またはコンテンツ管理システムなど) のネイティブ ログイン機能を使用できるようにします。

• ユーザーが Web アプリケーション自体で使用できる別の二次的な資格情報セットを要求できるようにします (つまり、IDP がダウンしているときに使用できる別のパスワード) [注: 明らかに、これはすべてのアイデアを投げ捨てるだけで「単一の資格情報」の目標を無効にします]。

• ユーザーが同じ資格情報の複数のさまざまな管理者のいずれかを使用してログインできるようにします (複数のプロバイダーへの複数のリンクを提供し、そのうちの 1 つが実際に接続して機能するまで、それぞれを試行します)。

おそらく明らかな理由から、上記の解決策はどれも魅力的とは思えないため、最善の代替アプローチで回答する際に、これらを「最悪の方法」リストに自由に追加してください。

現在 IIS 6 で実行されている ASP.NET フォーム認証を使用して保護されている従来の ASP アプリケーションがあります。問題は、このアプリケーションが、クライアント証明書を使用する Entrust TruePass を使用してシングル サインオン セキュリティ モデルを実装する必要があることです。これは ASP.NET Http モジュールを使用して実装できますか?それとも ISAPI フィルターを作成する必要がありますか? 他に利用可能なオプションはありますか?