Single Sign On pour une application Web

Question

J'ai essayé de comprendre comment ce problème est résolu depuis plus d'un mois maintenant. Je dois vraiment trouver une approche générale qui fonctionne. J'ai une théorie, mais je ne suis pas sûr que c'est le plus facile (ou correct) approche et je ne l'ai pas été en mesure de trouver des informations pour soutenir mes idées.

Voici le scénario:

1) Vous avez une application web complexe qui offre un contenu sécurisé sur une base d'abonnement.

2) Les utilisateurs doivent se connecter à votre application avec le nom d'utilisateur et mot de passe.

3) Vous vendez aux grandes entreprises, qui ont déjà une technologie d'authentification d'entreprise (par exemple, Active Directory).

4) Vous souhaitez intégrer le mécanisme d'authentification des entreprises pour permettre à leurs utilisateurs de se connecter sur votre Web App sans avoir à entrer son nom d'utilisateur et mot de passe.

Maintenant, toute solution que vous venez avec devra fournir un mécanisme pour:

• ajout de nouveaux utilisateurs
• supprimer des utilisateurs
• modifier les informations utilisateur
• qui permet aux utilisateurs de se connecter

Idéalement, « automagiquement » se passerait-il tout cela lorsque le client de l'entreprise a apporté les modifications correspondantes à leur propre authentification.

Maintenant, j'ai une théorie que la façon de le faire (au moins pour Active Directory) serait pour moi d'écrire une application côté client qui intègre avec Active Directory du client pour suivre les changements ciblés, puis communiquer les des modifications à mon Web App. Je pense que si cette communication a été faite via les services Web offerts par mon application web, il maintiendrait un niveau unhackable de sécurité, ce qui serait évidemment une exigence pour ces clients d'entreprise.

J'ai trouvé des informations sur un produit Microsoft appelé service de fédération Active Directory (ADFS) qui peut ou peut ne pas être la bonne approche pour moi. Il semble être un peu encombrant et ont des exigences qui pourraient ne pas fonctionner pour tous les clients.

Pour d'autres scénarios d'identification existants (comme Athènes et Shibboleth), je ne pense pas une application cliente est nécessaire. Il est probablement juste une question de lier dans les services d'identification existants.

Je vous serais reconnaissant tout conseil qu'on a sur tout ce que je l'ai mentionné ici. En particulier, si vous pouvez me dire si ma théorie est correcte de fournir une application côté client qui communique avec le serveur côté des services Web, ou si je vais tout à fait dans la mauvaise direction. En outre, si vous pouviez me pointer sur des sites Web ou des articles qui expliquent comment faire, je l'apprécie vraiment. Ma recherche n'a pas tourné une grande partie à ce jour.

Enfin, si vous pouviez me faire savoir de toutes les applications Web qui offrent actuellement ce service (notamment lié à une entreprise Active Directory), je serais très reconnaissant. Je me demande si d'autres applications Web B2B est comme salesforce.com, ou hoovers.com offrent un service similaire pour leurs entreprises clientes.

Je déteste être dans l'obscurité et apprécierais beaucoup toute la lumière que vous pouvez jeter ...

Jeremy

Answer 1

Shibboleth est conçu pour soutenir exactement ce scénario. Cependant, il se fondera sur les entreprises mettant en œuvre les mécanismes de fournisseur d'identité de vos clients. À l'heure actuelle, ce n'est que très commun dans les universités. De plus, si vous voulez des informations utilisateur (plus qu'un simple identifiant pseudonymous), vous aurez besoin de l'entreprise d'accepter de libérer ces attributs pour vous.

Je trouve difficile à croire que de nombreuses entreprises ouvrent leur système d'authentification d'entreprise pour vous, juste pour fournir l'authentification unique.

Vous trouverez peut-être mieux de compter sur ou similaire OpenID, et en utilisant un « remember me » cookie pour réduire la nécessité pour les gens d'entrer des mots de passe.

Answer 2

Un problème de base avec votre approche est que vous envisagez votre application web en vase clos. Les employés de votre entreprise du client ne requerra pas d'authentification unique à votre application web, mais aussi quelques-uns / quelques / beaucoup d'autres, et l'extension de votre approche nécessiterait une mise en œuvre sur mesure pour chacun de ceux pour permettre l'accès.

D'où l'adoption généralisée de OpenAthens et Shibboleth dans la communauté des bibliothèques universitaires de tirer parti de l'utilisation des titres de compétence émis localement. Une université moyenne typique / grand peut souscrire à divers produits / services de plus de cinquante éditeurs différents, et en déployant OpenAthens / Shibboleth ils peuvent profiter de la norme ouverte SAML (SAML est le protocole qui Shibboleth utilise) qui voit offre publique accrue non seulement dans le secteur universitaire, mais aussi dans le secteur commercial.

La réponse de John points ci-dessus à une autre question: il y a un certain nombre de normes ouvertes qui ont récemment émergé, SAML et OpenID parmi eux. Alors les fournisseurs de contenu sont obligés de décider si elles veulent mettre en œuvre une partie ou l'ensemble de ces nativement, mais ils utilisent des piles technologiques distinctes et donc les coûts de mise en œuvre et de soutien peuvent être dupliquées.

Un bon nombre de grands éditeurs ont mis en place OpenAthens comme ce soutient Athènes, SAML / Shibboleth et en une seule OpenID plate-forme, avec des options pour brancher d'autres technologies aussi, ou l'écriture d'un module personnalisé pour permettre une application interne de se connecter, par exemple, une facturation ou les droits d'enregistrement du système qui les utilisateurs des clients se connectent.

Ce secteur de la gestion d'accès est sans aucun doute oriente vers des standards ouverts, de sorte que la construction de votre propre méthode serait priver l'accès à votre application pour un grand nombre d'utilisateurs