>企业门户(Drupal后端)
>项目管理(Project.NET)
>文件协作系统(Alfresco)
>帮助台(Redmine)
>问题跟踪(Atlassian Jira)
通过LDAP成功实现了对Active Directory的身份验证,因为这些应用程序可以通过插件开箱即用.
鉴于上述所有Web应用程序都没有任何稳定的本机SSO插件或模块,我倾向于将Shibboleth部署作为身份提供者和SSO解决方案.由于我不确定这是否适合给定的情况,我想问以下问题:
> Shibboleth是否适合作为在此方案中提供SSO登录的中间人:
Active Directory< =域凭据< = Shibboleth =>身份=>申请登录
>据我所知,Shibboleth向应用程序提供的身份验证实际上是通过Web服务器配置(Apache,Tomcat等)实现的.这种类型的身份验证仅提供仅查看给定页面内容的权限,或者它可以与应用程序身份验证完全集成(作为LDAP身份验证工作)?
>如果上述身份登录实际正在运行,则经过身份验证的用户的应用程序功能仍将正常工作,就像用户通常使用其域凭据登录一样? (例如,Redmine支持动态帐户创建,以便成功进行首次域用户登录).
我假设您的意思是使用Shibboleth的创建者(称为shibboleth-sp)提供的服务提供程序实现与Shibboleth IdP交谈.
这可以通过指定Web服务器配置中要保护的资源来实现
并通过请求的属性扩充通过应用程序的参数
SP的IdP.所述属性必须由IdP释放给请求SP
(attribute-filter.xml)并且必须对应用程序有意义.
IdP不进行访问控制,应用程序必须决定它如何解释参数
从IdP收到.
因此,您要么有一个可以直接与IdP通信的应用程序(通过SAML2,例如Liferay EE),或者
您使用shibboleth-sp并使用属性将用户映射到应用程序的角色模型.
基本情况类似于使用HTTP身份验证,在应用程序中禁用身份验证并使用参数REMOTE_USER来标识用户.应用程序可以在其数据存储中检索更多数据.
