問題タブ [single-sign-on]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - SAP に多額の投資を行っている企業の内部セキュリティ標準のベスト プラクティスは何ですか?
私は大企業で働いており、内部セキュリティ標準のベスト プラクティスに関心があります。SAP には多額 (5 億ドル以上) の投資があり、社内環境には .Net と Java EE が少しあります。
MS と SAP のドキュメントをいくつか見つけましたが、それは時代遅れであまり具体的ではありません。
これまでのところ、すべての非 SAP アプリケーションの標準ユーザー ストアとして Active Directory を使用し、SAP アプリケーションの場合は SAP CUA / ポータルを使用することになる可能性があるようです。
ADについて私が持っているいくつかの懸念は次のとおりです。
共有コンピューター上のアプリケーションを積極的にタイムアウトできるようにする (少数のアプリケーションは、限られた数の共有マシンを持つ地方のリモート オフィスで実行されます。これらの場合、「パワー ユーザー」特権を持つスーパーバイザーがアプリケーションを使用できます。 、その後、基本的な特権のみを持つはずの店員がすぐに同じマシンを使用できました)
ユーザーのワークステーションから資格情報を読み取るだけでなく、ユーザーにユーザー名とパスワードの入力を強制できる - デスクトップと電子メールで同じ資格情報を取得しているため、現在はユーザーにログインを求めません。共有コンピュータ上のアプリケーションについても同様です。(前の箇条書きの説明を参照)
AD と CUA の同期に関しては、非常に慎重に取り組みたいと考えています。予算は限られていますが、店舗を同期させるために何かを配置することになった場合、それが売れ行きが良く、優れた価値を提供することを確認したいと考えています. このようなものが見つからない場合は、店舗を独立したままにすることをお勧めします. SSO は理想的ですが、私は SAML よりも前に SSO アプリケーションを立ち上げようとしましたが、うまくいきませんでした。
頭字語:
SSO: シングル サインオン SAML: セキュリティ
アサーション マークアップ言語
CUA: 集中ユーザー管理 (SAP 用)
active-directory - LDAP/AD サーバーの集約
現在、Microsoft SBS マシンにセットアップされている少数のユーザー グループがあり、アクティブ ディレクトリで利用できます。
これらのユーザーだけでなく、他の多くのユーザーも、2 番目の LDAP サーバー (openLDAP) にエントリを持っています。この 2 番目のサーバーは、内部のタイムシート Web ベース システム、チップ システム、フォーラム、Subversion リポジトリ コントロールなど、いくつかの異なるものの認証とアクセス制御に使用されます。
したがって、オフィスにいるグループには、ID とパスワードを覚えておく必要がある 2 つの別々のアカウントがあります。これらの内部システムの一部は、複数の LDAP サーバー (mod_authnz_ldap) に対して認証するように構成するのが簡単ではありません。
さまざまな理由から、余分なユーザーやグループが SBS マシンの Active Directory を乱雑にすることは望ましくありません。
2 つの既存の LDAP サーバー間で動作し、統一されたビューを提供できる仮想 LDAP サーバーをどうにかしてセットアップできるようになりたいと思っています。AD からユーザー情報を取得し、openLDAP サーバーからも取得するか、追加のユーザーとグループを内部で維持します。
(実際には、集約されたサーバーにのみ存在するグループがあり、AD サーバーからユーザーをメンバーとして割り当てたいため、内部的にはおそらくより良いでしょう。)
私が知っている唯一のことは、ペンローズの仮想ディレクトリサーバーであると思いますが、それをさらに調査する前に、他のオプションがあるかどうかを確認したかったのです。
apache2 - Windows/Apache2.2 環境での Windows loginID ヘルプ
些細な問題のように見える問題を解決するために、私は本当に助けを借りることができました. 要約すると、Windows 環境の Apache で実行されている Perl .cgi にアクセスするユーザーの Window の loginID を知りたいです。
これが私の基本的なApache2 confの追加です:
---- httpd.conf の開始 -----
---- httpd.conf の終了 ------
上記のサイトは Apache モジュール mod_auth.so をロードするように要求していますが、デフォルトの Apache2 インストールでは見つかりません。また、ご覧のとおり、mod_auth_sspi-1.0.4-2.2.2 モジュールを手動で Apache2 環境に追加しました。
ここで、 http://localhost/cgi-bin/test.cgiとhttps: //localhost/cgi-bin/test.cgi の両方を試してみると、 http/ の REMOTE_USER の方法で何も表示されません環境変数。https 呼び出しで大量の SSL 変数が表示されるため、SSL が機能していることはわかっています。また、SSL の要件はありませんが、上記のリンクに Windows ログイン情報を取得するために必要であると記載されているため、SSL のみを使用しています。
洞察力をいただければ幸いです。参考になれば、httpd.conf ファイル全体を喜んで共有します。基本的に、繰り返しますが、私が探しているのは、Windows/Apache2.2 ホスティング環境の Perl .cgi で Windows loginID を取得する方法だけです。
皆様のご協力に感謝いたします。
サケル・ガニ
.net - .net ログイン ページを設定するのはどれくらい難しいですか?
私たちは、ユーザーが .net 経由でログインしてから PHP アプリにアクセスできるようにする SSO ソリューションに取り組んでいます。私はPHPの終わりに取り組んでおり、多くの作業の後、.netがユーザー名とチケットの有効期限で設定するCookieに対してデコード、解析、およびその他の処理を行いました。
少なくとも私は持っていると思います。私が今困っているのは、.net 開発者が忙しすぎて、これらの Cookie を生成するテスト用のログイン ページをセットアップして、実際にテストできるようにできないことです。私が疑問に思っているのは、このテスト ページの設定にどれくらいの時間がかかるかということです。そんなに時間はかからないはずだというのが私の気持ちですが、一度もやったことがありません。(私が開発者に「1時間程度で済むはずだ」と言うクライアントのようになることは、天から禁じられています。)
合理的に期待できることを知りたいだけです。formsauth チケットを作成し、ログインしているユーザーをテスト ページに送信する単純なログイン。FWIW、現在使用中の.netアプリ用に設定されたログインページがすでにいくつかあります。
編集: 明確にするために、これを実装するつもりはありません。.net 開発者がこれを行うのにどれくらいの時間がかかるか知りたいです。
c# - 複数の Web アプリに 1 回のログインを使用する方法
1 つのアプリケーションにログインし、同じログイン トークンを使用して 2 つ目のアプリケーションを認証したいと考えています。同じアプリケーション名を使用しているため、両方のアプリケーションが同じメンバーシップ プロバイダーを使用しています.....
IIS 7.0 でホストされている asp.net 3.5、c# を使用する 2 つの Web アプリケーションがあります。認証/承認に aspnet_membership プロバイダーを使用しています
これらは、2 つの別個のアプリケーションとして並行してホストされます。問題は、1 つのアプリケーションにログインし、同じログインを使用して別のアプリケーションで認証されることができるかどうかです....
前もって感謝します
スチュアート
c# - Web アプリでシングル サインオンを使用する方法
シングル サインオンを有効にしたい ASP.NET 2.0 Web アプリケーション (C#) があります。特定のユーザーだけがすべてのページにアクセスできるようにし、他のユーザーには数ページしか表示できないようにしたい。Web.config ファイルにどのような変更を加える必要がありますか? また、ページのコード ビハインドに必要なコードは何ですか?
ありがとうございました
ruby-on-rails - Rails 2.3.2 のドメイン間でのマルチサイト アプリケーションのシングル サインオン
Rails 2でこれを行う方法を示すRailsレシピがありますが、セクシーなラックが入ったので、解決策はもはや関係がないように見えました. これはレール 2.3.2 でどのように処理できますか?
.net - 決定的な dot.net シングル サインオン ソリューション - 開発するか、盗むか、購入するか?
問題: 私たちの環境には、数十台のサーバーに分散した 1 回限りのアプリケーションが数十個あります。一部のアプリは、1 回限りのフォーム/データベース ベースのログインで保護されています。一部のアプリには、web.config で定義されたアクセス許可があります。一部のアプリには、フォルダー レベルの NTFS アクセス許可が設定されています (一部はドメイン ユーザー アカウントを使用し、一部は外部ユーザーのローカル ユーザー アカウントを使用します)。言うまでもなく、これは絶対的な混乱です。
SSO ソリューションは間違いなく整っていますが、構築するか、既存の FOSS ソリューションを活用するか、または購入する必要がありますか (そうであれば、どれを購入しますか?)
私はできる必要があります
- フォームログインを介して一度認証すると、当然、ログイントークンはサーバーからサーバーへと運ばれます
- ドメイン アカウントを組み合わせて (推奨)、外部ユーザー用の db テーブル アカウントを作成する
- 役割/権限を一元管理する
- ユーザーが AD/ドメイン アカウントで認証する状況では、この同じアカウントを使用して、使用しているアプリケーションが統合認証を介してデータベースに接続できるようにします。
- ポータルがいいだろう
誰かが何らかの方向性を提供してくれるなら、私は大いに義務付けられます.
ldap - Web アプリの LDAP 統合を構築する方法は?
私の会社は、何百もの顧客を持つ SaaS アプリケーションを開発および販売しています。一部のお客様から、従業員ごとに別のログイン アカウントを作成する代わりに、既存のシステムに対してユーザー アカウントを認証するための LDAP 統合をサポートしてほしいという要望がありました。これは、多くの場所でシングル サインオン (SSO) と呼ばれているようですか? 当然のことながら、当社のシステムには、ユーザー アカウント プロファイルを維持し、ログイン ページからそれらのユーザー アカウントを認証するためのメカニズムが既に備わっています。
私たちは LDAP について少し無知で、いくつかのことについて混乱しています。間違った用語が使用されている可能性があることをご容赦ください (私たちはこれについて少し無知であることを思い出してください)。
これがどのように機能するかの基本を理解していると思います。
- 当社の顧客は、アカウントの「リモート認証」機能を「オン」にするようにアカウントを構成します。ユーザーを認証するリモート URL を提供します。
- ユーザーはログイン ページにアクセスし、会社の LDAP システムから提供されたユーザー名とパスワードを使用してログインを試みます。
- 当社のログイン ページは、ログイン資格情報 (おそらく合意された形式で暗号化およびハッシュ化されたもの) を、お客様から提供された「リモート認証」URL に安全に転送します。
- 顧客のスクリプトはユーザーを認証し、「認証ステータス」を使用してサイトにリダイレクトします。
- 私たちのページは「認証ステータス」を分析し、ユーザーがログインしているかどうかを受け入れます。
上記の情報が半分正しいと仮定しても、各ユーザーがシステムにアカウントを持っている必要があります。ユーザー アカウント プロファイルを LDAP ディレクトリ内のユーザー プロファイルと同期させる何らかの方法が必要ではないでしょうか? これは、LDAP システムでユーザーの ID を参照する単なる「外部 ID」ですか? その場合、顧客の「リモート認証」スクリプトがその ID をシステムに提供して、システム内のどのユーザー アカウントにログインを関連付けるかを知る必要がありますか?
何が欠けていますか?
ところで、私たちのプラットフォームは IIS、ASP.Net 2.0、および SQL Server 2005 です。
single-sign-on - ID管理/SSOソリューション?
基本的な一元化されたID管理/SSOサービスに関する推奨事項は何ですか?オープンソースであり、プラグイン可能なIDマネージャー(LDAP、DB、openIDなど)を備え、適切な範囲のAPIアクセスオプション(Webサービス、RESTなど)を提供する必要があります。また、高可用性のためにクラスター化可能である必要があります。
JOSSO?CAS?他の人?