Stratégie d'authentification unique avec les applications existantes
https://stackoverflow.com/questions/51279
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je me demande quelles stratégies les gens utilisent pour réduire les connexions avec les applications existantes et dans quelle mesure les ont-ils trouvées efficaces ?
Nous disposons d'un intranet basé sur ASP.Net et possédons un grand nombre d'applications existantes, mais pas toutes.Nous avons également BizTalk et envisageons également d'utiliser son moteur SSO.
La solution
Un bon compromis entre les efforts/retouches et la commodité de l'authentification unique consiste à continuer à maintenir une liste d'utilisateurs, de privilèges, de rôles, etc. dans l'ancienne application.Apportez les modifications nécessaires pour connecter automatiquement l'utilisateur à votre application en fonction de son compte utilisateur (généralement son compte Windows ou réseau).
J'exécute actuellement quelques applications qui utilisent cette méthode de connexion, et cela les fait paraître plus intégrées même si elles ne le sont pas.
Un autre avantage que nous avons découvert est qu'il empêche les utilisateurs de partager des mots de passe avec des applications existantes.Ils sont beaucoup moins susceptibles de distribuer un mot de passe administrateur qui donne également aux autres accès à leur courrier électronique ou à leurs informations de paie !
Autres conseils
Stockage d’identités multiples par application ?Il ne s'agit peut-être pas d'une solution d'authentification unique, mais avez-vous essayé d'envisager une solution plus ciblée comme MS Identity Lifecycle Manager ?Il simplifiera la synchronisation des identités entre les applications et est également enfichable, ce qui signifie que vous pouvez connecter votre propre code pour effectuer la synchronisation entre différents systèmes.Donc, si vous modifiez les informations d'identité (c.-à-d.informations de connexion) dans le portail ILM, vous pouvez les propager aux différents systèmes.Même chose pour le provisionnement et le déprovisionnement de l’identité.Point d'entrée unique.
Je suppose que vous pouvez également utiliser biztalk pour des choses similaires.
En ce qui concerne une véritable solution d'authentification unique dans laquelle vous vous connectez une seule fois et vous n'avez pas besoin de vous reconnecter à différentes applications.Je n'en ai pas encore trouvé.
Je suppose que si vos applications existantes disposent d'un module de fournisseur d'identité enfichable, c'est faisable, ce qui signifie que vous pouvez personnaliser le système de connexion pour vous connecter à votre source de vérité d'identité unique, quoi qu'il en soit.
Nous avons fait deux choses avec les anciens comptes.(anciennes applications Web)
Nous avons d'abord mappé les comptes hérités à leurs comptes de connexion système (exécutés dans Windows Active Directory).
Un écran de connexion de façade a ensuite été appliqué au-dessus des applications héritées (basées sur le Web), ce qui demanderait la connexion AD, qui inverserait ensuite la correspondance avec le compte de connexion des applications héritées et attribuerait les droits appropriés à l'utilisateur, en utilisant l'héritage. modèle de sécurité des systèmes.L'utilisateur a reçu un jeton pour la session qui lui a gardé les portes ouvertes.
Cela nous a donné l'avantage de ne pas avoir à mettre à niveau les applications existantes (par exemple, ce qui se passerait si l'application x n'avait que des numéros d'identification, et l'utilisateur utilise une connexion Windows (alphanumérique), et obtenait également une pseudo connexion unique du point de vue du client.
L'autre option qui avait du sens était le nouvel écran de connexion, elle vérifierait plusieurs référentiels de sécurité, donc même si l'utilisateur ne décidait pas d'utiliser sa connexion Windows, il pourrait toujours se connecter avec le nom de compte existant.Évidemment, cela a certains effets secondaires, mais peut également aider à atténuer la douleur de transition que les utilisateurs finaux ressentent parfois lorsqu'ils passent d'un système à l'autre.
Il existe également des programmes comme Authentification unique Citrix XenApp qui adoptent une approche totalement différente de la question.
En plus des points de Jimmy sur l'utilisation d'ILM, ce système particulier permet l'intégration avec le service AD PCNS (Password Change Notification Service), qui peut être utilisé avec ILM (ILM "voit" l'événement de changement de mot de passe et peut le publier sur d'autres applications consommatrices. / services) pour au moins garantir que lorsque le mot de passe d'un utilisateur change dans un système, il est reflété dans les autres.
