استراتيجية لتسجيل الدخول الموحد مع التطبيقات القديمة
https://stackoverflow.com/questions/51279
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أتساءل ما هي الاستراتيجيات التي يستخدمها الأشخاص لتقليل تسجيل الدخول باستخدام التطبيقات القديمة ومدى فعالية العثور عليها؟
لدينا شبكة إنترانت تعتمد على ASP.Net ونمتلك الكثير من التطبيقات القديمة، ولكن ليس كلها.لدينا أيضًا BizTalk ونفكر في استخدام محرك SSO الخاص به أيضًا.
المحلول
الحل الوسط الجيد بين الجهد/إعادة العمل وسهولة تسجيل الدخول الفردي هو الاستمرار في الاحتفاظ بقائمة المستخدمين والامتيازات والأدوار وما إلى ذلك في التطبيق القديم.قم بإجراء التغييرات اللازمة لتسجيل دخول المستخدم تلقائيًا إلى تطبيقك استنادًا إلى حساب المستخدم الخاص به (عادةً حساب Windows أو حساب الشبكة الخاص به).
أقوم حاليًا بتشغيل تطبيقين يستخدمان طريقة تسجيل الدخول هذه، مما يجعلها تبدو أكثر تكاملاً على الرغم من أنها ليست كذلك.
ميزة أخرى وجدناها هي أنها تمنع الأشخاص من مشاركة كلمات المرور مع التطبيقات القديمة.من غير المرجح أن يقوموا بتوزيع كلمة مرور المسؤول التي تمنح الآخرين أيضًا إمكانية الوصول إلى بريدهم الإلكتروني أو تفاصيل الرواتب!
نصائح أخرى
تخزين هوية متعددة لكل تطبيق؟قد لا يكون حلاً واحدًا لتسجيل الدخول، ولكن هل حاولت البحث في حل أكثر استهدافًا مثل MS Identity Lifecycle Manager؟سوف يعمل على تبسيط مزامنة الهوية بين التطبيقات كما أنه قابل للتوصيل أيضًا، مما يعني أنه يمكنك ربط الكود الخاص بك لإجراء المزامنة بين الأنظمة المختلفة.لذا، إذا قمت بتغيير معلومات الهوية (أيمعلومات تسجيل الدخول) في بوابة ILM، يمكنك نشرها على الأنظمة المختلفة.نفس الشيء بالنسبة لتوفير الهوية وإلغاء توفيرها.نقطة دخول واحدة.
من المفترض أنه يمكنك استخدام biztalk أيضًا لشيء مماثل.
أما بالنسبة إلى حل تسجيل الدخول الفردي الحقيقي، حيث قمت بتسجيل الدخول مرة واحدة فقط ولا يتعين عليك تسجيل الدخول مرة أخرى إلى تطبيقات مختلفة.لم أجد واحدة بعد.
أفترض أنه إذا كانت تطبيقاتك القديمة تحتوي على وحدة موفر هوية قابلة للتوصيل، فهذا ممكن، مما يعني أنه يمكنك تخصيص نظام تسجيل الدخول للاتصال بمصدر هويتك الفردي الحقيقي مهما كان ذلك.
لقد فعلنا شيئين مع الحسابات القديمة.(التطبيقات القديمة المستندة إلى الويب)
قمنا أولاً بتعيين الحسابات القديمة لحسابات تسجيل دخول النظام الخاصة بها (التي تعمل في Windows Active Directory).
تم بعد ذلك تطبيق شاشة تسجيل دخول واجهة على الجزء العلوي من التطبيقات القديمة (المستندة إلى الويب)، وهذا سيطلب تسجيل الدخول AD، والذي سيؤدي بعد ذلك إلى عكس التعيين إلى حساب تسجيل دخول التطبيقات القديمة وتعيين الحقوق المناسبة للمستخدم، باستخدام القديم نموذج أمن الأنظمة.تلقى المستخدم رمزًا مميزًا للجلسة مما أبقى الأبواب مفتوحة له.
أعطانا هذا ميزة عدم الاضطرار إلى تحديث التطبيقات القديمة (على سبيل المثال، ما سيحدث هو أن التطبيق x يحتوي فقط على أرقام للمعرف، ويستخدم المستخدم تسجيل دخول Windows (أبجدي رقمي)، ويحقق أيضًا تسجيل دخول فردي زائف من منظور العميل.
الخيار الآخر الذي كان منطقيًا كان في شاشة تسجيل الدخول الجديدة، حيث سيتحقق من مستودعات أمان متعددة، لذلك حتى إذا لم يقرر المستخدم استخدام تسجيل دخول Windows الخاص به، فلا يزال بإمكانه تسجيل الدخول باستخدام اسم الحساب القديم.من الواضح أن هذا له بعض الآثار الجانبية ولكنه يمكن أن يساعد أيضًا في تخفيف آلام الانتقال التي يشعر بها المستخدمون أحيانًا أثناء التنقل بين الأنظمة.
هناك أيضًا برامج مثل سيتريكس XenApp تسجيل دخول واحد التي تتخذ نهجا مختلفا تماما لهذه القضية.
بالإضافة إلى نقاط Jimmy حول استخدام ILM، فإن هذا النظام المحدد يسمح بالتكامل مع خدمة AD PCNS (خدمة إعلام تغيير كلمة المرور)، والتي يمكن استخدامها مع ILM (ILM "يرى" حدث تغيير كلمة المرور ويمكن نشره إلى تطبيقات مستهلكة أخرى / الخدمات) للتأكد على الأقل من أنه عندما تتغير كلمة مرور المستخدم في أحد الأنظمة، فإنها تنعكس في الأنظمة الأخرى.
