active-directory – Web应用程序的单一登录

前端之家收集整理的这篇文章主要介绍了active-directory – Web应用程序的单一登录前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我一直试图了解这个问题现在已经解决了一个多月了.我真的需要想出一个有效的通用方法.我有一个理论,但我不确定这是最简单(或正确)的方法,而且我无法找到任何信息来支持我的想法.

这是场景:

1)您有一个复杂的Web应用程序,可以在订阅的基础上提供安全的内容.

2)用户需要使用用户名和密码登录您的应用程序.

3)您向已经拥有企业身份验证技术的大型公司(例如,Active Directory)销售.

4)您希望与企业身份验证机制集成,以允许其用户登录您的Web应用程序,而无需输入其用户名和密码.

现在,您提出的任何解决方案都必须提供以下机制:

>添加新用户
>删除用户
>更改用户信息
>允许用户登录

理想情况下,当公司客户对自己的身份验证进行相应更改时,所有这些都会“自动”发生.

现在,我有一个理论认为,这样做(至少对于Active Directory)的方法是我编写一个客户端应用程序,它与客户的Active Directory集成以跟踪目标更改,然后将这些更改传达给我网络应用.我认为如果这个通信是通过我的网络应用程序提供的Web服务完成的,那么它将保持不可控制的安全级别,这显然是这些公司客户的要求.

我发现了一些有关Microsoft产品的信息,称为Active Directory联合身份验证服务(ADFS),这对我来说可能是也可能不是正确的方法.它看起来有点笨重,并且有些要求可能对所有客户都不起作用.

对于其他现有ID方案(如Athens和Shibboleth),我认为不需要客户端应用程序.这可能只是与现有ID服务相关联的问题.

我很感激任何人对我在这里提到的任何建议.特别是,如果你能告诉我,我的理论是否正确,提供与服务器端Web服务通信的客户端应用程序,或者我是否完全朝着错误的方向前进.此外,如果你能指出我在任何网站或文章解释如何做到这一点,我真的很感激.到目前为止,我的研究还没有发现太多.

最后,如果您能告诉我当前提供此服务的任何Web应用程序(特别是与企业Active Directory相关联),我将非常感激.我想知道其他B2B Web应用程序是否像salesforce.com或hoovers.com为其企业客户提供类似的服务.

我讨厌在黑暗中,并且非常感谢你能摆脱的任何光……

杰里米

解决方法

Shibboleth旨在支持这种情况.但是,它将依赖于您的客户公司实施身份提供商机制.目前,这在大学里才真正常见.此外,如果您需要用户信息(不仅仅是假名标识符),您需要公司同意向您发布这些属性.

我发现很难相信许多公司会向您开放公司认证系统,只是为了提供SSO.

您可能会发现依靠OpenID或类似产品更好,并使用“记住我”cookie来减少人们输入密码的需要.

猜你在找的HTML相关文章