centos – 针对Active Directory的Web应用程序的Intranet公司SSO

前端之家收集整理的这篇文章主要介绍了centos – 针对Active Directory的Web应用程序的Intranet公司SSO前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在尝试在企业环境中规划和实施SSO解决方案,该环境为CentOS上运行的Intranet Web应用程序提供服务:

>企业门户(Drupal后端)
>项目管理(Project.NET)
>文件协作系统(Alfresco)
>帮助台(Redmine)
>问题跟踪(Atlassian Jira)

通过LDAP成功实现了对Active Directory的身份验证,因为这些应用程序可以通过插件开箱即用.

鉴于上述所有Web应用程序都没有任何稳定的本机SSO插件或模块,我倾向于将Shibboleth部署作为身份提供者和SSO解决方案.由于我不确定这是否适合给定的情况,我想问以下问题:

> Shibboleth是否适合作为在此方案中提供SSO登录的中间人:

Active Directory< =域凭据< = Shibboleth =>身份=>申请登录

>据我所知,Shibboleth向应用程序提供的身份验证实际上是通过Web服务器配置(Apache,Tomcat等)实现的.这种类型的身份验证仅提供仅查看给定页面内容的权限,或者它可以与应用程序身份验证完全集成(作为LDAP身份验证工作)?
>如果上述身份登录实际正在运行,则经过身份验证的用户的应用程序功能仍将正常工作,就像用户通常使用其域凭据登录一样? (例如,Redmine支持动态帐户创建,以便成功进行首次域用户登录).

身份提供者(IdP)处理针对数据库或LDAP服务器的身份验证,并将用户信息传递给应用程序=服务提供者(SP).

我假设您的意思是使用Shibboleth的创建者(称为shibboleth-sp)提供的服务提供程序实现与Shibboleth IdP交谈.

这可以通过指定Web服务器配置中要保护的资源来实现
并通过请求的属性扩充通过应用程序的参数
SP的IdP.所述属性必须由IdP释放给请求SP
(attribute-filter.xml)并且必须对应用程序有意义.
IdP不进行访问控制,应用程序必须决定它如何解释参数
从IdP收到.

因此,您要么有一个可以直接与IdP通信的应用程序(通过SAML2,例如Liferay EE),或者
您使用shibboleth-sp并使用属性用户映射到应用程序的角色模型.

基本情况类似于使用HTTP身份验证,在应用程序中禁用身份验证并使用参数REMOTE_USER来标识用户.应用程序可以在其数据存储中检索更多数据.

概述:http://predic8.com/shibboleth-web-services-sso-en.htm

猜你在找的CentOS相关文章