Strategie für Single Sign-On mit Legacy-Anwendungen
https://stackoverflow.com/questions/51279
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich frage mich, welche Strategien die Leute verwenden, um die Anmeldung bei älteren Anwendungen zu reduzieren, und wie effektiv sie diese finden?
Wir haben ein ASP.Net-basiertes Intranet und besitzen viele der Legacy-Anwendungen, aber nicht alle.Wir haben auch BizTalk und erwägen auch die Verwendung seiner SSO-Engine.
Lösung
Ein guter Kompromiss zwischen Aufwand/Nacharbeit und der Bequemlichkeit von Single Sign-On besteht darin, weiterhin eine Liste von Benutzern, Berechtigungen, Rollen usw. in der Legacy-App zu verwalten.Nehmen Sie die erforderlichen Änderungen vor, um den Benutzer anhand seines Benutzerkontos (normalerweise seines Windows- oder Netzwerkkontos) automatisch bei Ihrer Anwendung anzumelden.
Ich verwende derzeit einige Anwendungen, die diese Anmeldemethode verwenden, und sie wirken dadurch integrierter, obwohl dies nicht der Fall ist.
Ein weiterer Vorteil, den wir festgestellt haben, besteht darin, dass Personen daran gehindert werden, Passwörter für ältere Anwendungen weiterzugeben.Es ist weitaus unwahrscheinlicher, dass sie ein Administratorkennwort weitergeben, mit dem auch andere auf ihre E-Mail- oder Gehaltsdaten zugreifen können!
Andere Tipps
Mehrere Identitätsspeicher pro Anwendung?Möglicherweise handelt es sich nicht um eine Single-Sign-On-Lösung, aber haben Sie versucht, nach einer zielgerichteteren Lösung wie MS Identity Lifecycle Manager zu suchen?Es vereinfacht die Identitätssynchronisierung zwischen Anwendungen und ist außerdem steckbar, was bedeutet, dass Sie Ihren eigenen Code anschließen können, um die Synchronisierung zwischen verschiedenen Systemen durchzuführen.Wenn Sie also die Identitätsinformationen ändern (d. h.(Anmeldeinformationen) im ILM-Portal können Sie diese an die verschiedenen Systeme weitergeben.Das Gleiche gilt für die Bereitstellung und Aufhebung der Bereitstellung von Identitäten.Einziger Einstiegspunkt.
Ich nehme an, dass Sie Biztalk auch für ähnliche Zwecke verwenden können.
Was eine echte Single-Sign-On-Lösung betrifft, bei der Sie sich nur einmal angemeldet haben und sich nicht erneut bei verschiedenen Anwendungen anmelden müssen.Ich habe noch keinen gefunden.
Ich gehe davon aus, dass es machbar ist, wenn Ihre Legacy-Apps über ein steckbares Identitätsanbietermodul verfügen, was bedeutet, dass Sie das Anmeldesystem anpassen können, um eine Verbindung zu Ihrer einzigen Identitätsquelle der Wahrheit herzustellen, was auch immer das sein mag.
Wir haben zwei Dinge mit alten Konten gemacht.(ältere webbasierte Apps)
Wir haben zunächst die Legacy-Konten ihren Systemanmeldekonten zugeordnet (die in einem Windows Active Directory ausgeführt werden).
Anschließend wurde über den Legacy-Apps (webbasiert) ein Fassaden-Anmeldebildschirm angebracht, der die AD-Anmeldung anforderte, die dann umgekehrt dem Anmeldekonto der Legacy-Anwendungen zugeordnet wurde und dem Benutzer mithilfe des Legacy die entsprechenden Rechte zuweist Systemsicherheitsmodell.Der Benutzer erhielt für die Sitzung einen Token, der ihm die Türen offen hielt.
Dies verschaffte uns den Vorteil, dass wir ältere Apps nicht nachrüsten mussten (was beispielsweise passieren würde, wenn App
Die andere sinnvolle Option war der neue Anmeldebildschirm, bei dem mehrere Sicherheitsrepositorys überprüft wurden, sodass sich der Benutzer auch dann mit dem alten Kontonamen anmelden konnte, wenn er sich nicht für die Windows-Anmeldung entschieden hatte.Natürlich hat dies einige Nebenwirkungen, kann aber auch dazu beitragen, die Übergangsschmerzen zu lindern, die Endbenutzer beim Wechsel zwischen Systemen manchmal verspüren.
Es gibt auch Programme wie das Citrix XenApp Single Sign-On die das Thema völlig anders angehen.
Zusätzlich zu Jimmys Ausführungen zur Verwendung von ILM ermöglicht dieses spezielle System die Integration mit dem AD PCNS-Dienst (Password Change Notification Service), der mit ILM verwendet werden kann (ILM „sieht“ das Kennwortänderungsereignis und kann es an andere verbrauchende Anwendungen veröffentlichen /services), um zumindest sicherzustellen, dass sich das Passwort eines Benutzers, wenn es sich in einem System ändert, auch in anderen Systemen widerspiegelt.
