Single Sign On für einen Web-App

Question

Ich habe versucht, zu verstehen, wie dieses Problem über einen Monat gelöst ist jetzt. Ich brauche wirklich, dass die Arbeit mit einem allgemeinen Ansatz zu entwickeln. Ich habe eine Theorie, aber ich bin nur nicht sicher, ob es die einfachste (oder richtig) Ansatz ist, und ich habe keine Informationen zu finden in der Lage, meine Ideen zu unterstützen.

Hier ist das Szenario:

1) Sie haben eine komplexe Web-Anwendung, bietet sichere Inhalte auf Abonnementbasis.

2) Benutzer erforderlich sind, in Ihre Anwendung mit Benutzername und Passwort einloggen.

3) Sie verkaufen, um große Unternehmen, die bereits ein Unternehmens Authentifizierungs-Technologie (zB Active Directory).

4) Sie möchten mit dem Corporate-Authentifizierungsmechanismus integrieren, ihren Benutzern zu ermöglichen, auf Ihre Web App anmelden, ohne ihren Benutzernamen einzugeben und Ihr Passwort ein.

Nun, jede Lösung, die Sie kommen mit für einen Mechanismus zu schaffen hat:

• das Hinzufügen neuer Benutzer
• Entfernen von Benutzern
• Ändern von Benutzerinformationen
• die Benutzer sich anmelden

Im Idealfall all diese würden „automatisch“ geschehen, wenn die Firmenkunden die entsprechenden Änderungen an ihre eigenen Authentifizierungs gemacht.

Jetzt habe ich eine Theorie, dass die Art und Weise, dies zu tun (zumindest für Active Directory) wäre für mich eine clientseitige Anwendung zu schreiben, dass integriert mit dem Active Directory des Kunden der gezielten Änderungen zu verfolgen, und dann diejenigen kommunizieren Änderungen an meiner Web App. Ich glaube, wenn diese Mitteilung gemacht wurde über Web Service von meinem Web-App angeboten wird, dann wäre es ein unhackable Sicherheitsniveau aufrechtzuerhalten, was offensichtlich eine Voraussetzung für diese Firmenkunden sein würde.

Ich habe einige Informationen über ein Microsoft-Produkt Active Directory Federation Service (ADFS) genannt gefunden, die für mich kann oder auch nicht der richtige Ansatz sein. Es scheint ein bisschen sperrig zu sein und einige Anforderungen, die möglicherweise nicht für alle Kunden.

Für andere bestehende ID-Szenarien (wie Athen und Shibboleth), ich glaube nicht, eine Client-Anwendung erforderlich ist. Es ist wahrscheinlich nur eine Frage der in die bestehenden ID-Dienste zu binden.

Ich würde schätzen, irgendwelche Ratschläge jemand auf etwas habe ich hier erwähnt habe. Insbesondere können, wenn Sie mir sagen, ob meine Theorie eine clientseitige App über die Bereitstellung, dass in Verbindung steht mit serverseitigen Web Service korrekt ist, oder wenn ich total bin in der falschen Richtung. Auch, wenn Sie mich auf Websites oder Artikel verweisen könnte, die erklären, wie dies zu tun, würde ich wirklich schätzen. Meine Forschung hat viel bisher nicht aufgedreht.

Schließlich, wenn Sie mir Anwendungen wissen, dass Web lassen könnten, die derzeit diesen Service anbieten (insbesondere zu einem Firmen Active Directory gebunden), wäre ich sehr dankbar. Ich frage mich, wenn andere B2B-Web-App ist wie salesforce.com oder hoovers.com bieten einen ähnlichen Service für ihre Firmenkunden.

ich hasse im Dunkeln zu sein und kein Licht sehr schätzen würden Sie ...

vergießen

Jeremy

Answer 1

Shibboleth soll genau dieses Szenario zu unterstützen. Allerdings wird es auf Ihren Kunden Unternehmen verlassen, um die Identity-Provider-Mechanismen zu implementieren. Im Moment ist, dass nur wirklich häufig in Universitäten. wenn Sie Benutzerinformationen wünschen Ferner (mehr als nur eine pseudonyme Kennung), dann würden Sie das Unternehmen müssen stimmen diese Attribute Sie freigeben.

Ich finde es schwer zu glauben, dass viele Unternehmen ihre Corporate Authentifizierungssystem Sie öffnen würde, nur SSO zu liefern.

Sie könnte es besser finden, sich auf OpenID oder ähnlich, und mit einem „remember me“ Cookie zu reduzieren die Notwendigkeit für die Menschen Passwörter einzugeben.

Answer 2

Ein grundsätzliches Problem mit Ihrem Ansatz ist, dass Sie Ihren Web-App in Isolation erwägen. Mitarbeiter im Unternehmen Ihres Kunden nicht nur SSO benötigen, um Ihre Web-App, aber auch einige / einige / viele andere, und Ihr Ansatz erstreckt wäre eine für jeden der maßgeschneiderte Implementierung erfordern den Zugang zu ermöglichen.

Daher ist die weit verbreitete Annahme von OpenAthens und Shibboleth in der wissenschaftlichen Bibliothek Gemeinschaft die Verwendung von lokal ausgestellten Anmeldeinformationen zu nutzen. Ein typisches mittel / groß Universität zu verschiedenen Produkten / Dienstleistungen von mehr als fünfzig verschiedenen Verlagen abonnieren können, und durch den Einsatz von OpenAthens / Shibboleth sie können die Vorteile der SAML offenen Standards nehmen (SAML ist das Protokoll, dass Shibboleth Anwendungen), die eine erhöhte Nahme wird das Sehen up nicht nur im akademischen Bereich, sondern auch im gewerblichen Bereich.

John Antwort oben genannten Punkte zu einer neuen Ausgabe: gibt es eine Reihe von offenen Standards, die vor kurzem entstanden, SAML und OpenID unter ihnen. So Content-Anbieter haben zu entscheiden, ob sie einige oder alle diese nativ implementieren möchten, aber sie verwenden getrennte Technologie-Stacks und so die Implementierung und Support-Kosten dupliziert werden können.

Nicht wenige große Verlage implementiert haben OpenAthens als dies unterstützt Athen, SAML / Shibboleth und OpenID in einer einzigen Plattform, mit Optionen in anderen Technologien stecken auch, oder ein benutzerdefiniertes Modul Schreiben einer interne app verbinden zu können, zB eine Rechnungsstellung oder Berechtigungen System zu erfassen, welche Kunden Benutzer in protokollieren.

Dieser Sektor der Zugriffsverwaltung auf jeden Fall in Richtung offene Standards zu bewegen, so dass Ihre eigene Methode bauen würde Zugriff auf Ihre App für eine große Anzahl von Benutzern berauben