Web アプリのシングル サインオン

StackOverflow https://stackoverflow.com/questions/2567919

質問

私はこの問題がどのように解決されるかを理解するために 1 か月以上努力してきました。本当に機能する一般的なアプローチを考え出す必要があります。理論はありますが、それが最も簡単な (または正しい) アプローチであるかどうかはわかりませんし、私の考えを裏付ける情報も見つかりませんでした。

シナリオは次のとおりです。

1) サブスクリプションベースで安全なコンテンツを提供する複雑な Web アプリケーションがあります。

2) ユーザーは、ユーザー名とパスワードを使用してアプリケーションにログインする必要があります。

3) すでに企業認証テクノロジー (Active Directory など) を備えている大企業に販売する場合。

4) 企業の認証メカニズムと統合して、ユーザーがユーザー名とパスワードを入力せずに Web アプリにログオンできるようにしたいと考えています。

さて、あなたが思いつく解決策はすべて、次のメカニズムを提供する必要があります。

  • 新しいユーザーを追加する
  • ユーザーの削除
  • ユーザー情報の変更
  • ユーザーのログインを許可する

理想的には、企業顧客が独自の認証に対応する変更を加えたときに、これらすべてが「自動的に」行われます。

現在、これを行う方法 (少なくとも Active Directory の場合) は、顧客の Active Directory と統合して対象の変更を追跡するクライアント側のアプリを作成し、それらの変更を私の担当者に伝達するという理論があります。ウェブアプリ。この通信が私の Web アプリが提供する Web サービス経由で行われた場合、ハッキング不可能なレベルのセキュリティが維持されると思います。これは明らかにこれらの企業顧客にとっての要件となるでしょう。

Active Directory Federation Service (ADFS) と呼ばれる Microsoft 製品に関する情報を見つけましたが、これは私にとって正しいアプローチであるかどうかはわかりません。少しボリュームがあり、すべての顧客には機能しない可能性のあるいくつかの要件があるようです。

他の既存の ID シナリオ (Athens や Shibboleth など) の場合、クライアント アプリケーションは必要ないと思います。おそらく既存のIDサービスと連携するだけの問題だろう。

私がここで述べたことについて誰かがアドバイスをいただければ幸いです。特に、サーバー側 Web サービスと通信するクライアント側アプリの提供についての私の理論が正しいのか、それとも完全に間違った方向に進んでいるのかを教えていただければ幸いです。また、その方法を説明した Web サイトや記事を教えていただければ、大変助かります。私の研究は今のところあまり成果が出ていない。

最後に、現在このサービスを提供している Web アプリケーション (特に企業の Active Directory に関連付けられているもの) を教えていただければ、大変感謝いたします。salesforce.com や hoovers.com などの他の B2B Web アプリが企業顧客向けに同様のサービスを提供しているかどうか疑問に思っています。

私は暗闇にいるのが嫌いなので、あなたが照らしてくれると非常に感謝します...

ジェレミー

役に立ちましたか?

解決

Shibbolethののは、まさにこのシナリオをサポートするように設計されています。しかし、それはアイデンティティプロバイダメカニズムを実装する顧客の企業に依存しています。現時点では、それは大学で唯一の本当に一般的です。ユーザー情報(どの以上だけ変名識別子を)したい場合はさらに、あなたはあなたにそれらの属性を解放することに同意する会社を必要があると思います。

I多くの企業がちょうどSSOを提供するために、あなたにその企業の認証システムを開くだろうと信じるのは難しいそれを見つけるます。

あなたは OpenIDでのまたは類似し、軽減するために、「私を覚えて」クッキーの使用に依存するように、より良い、それを見つけるかもしれません人々は、パスワードを入力するために必要。

他のヒント

あなたのアプローチの1つの基本的な問題は、あなたが単独であなたのWebアプリを検討しているということです。あなたの顧客の会社の従業員は自分のWebアプリケーションへのSSOを必要としませんが、また、いくつか/数/他の多くは、あなたのアプローチを拡張すると、アクセスを可能にするために、それらのそれぞれの実装別注必要になります。

したがって、学術図書館コミュニティにおけるOpenAthensとShibbolethのの普及は、ローカルに発行された資格情報の使用を活用します。増加テイクを見ている大学以上50本の異なる出版社から様々な製品/サービスに加入することができ、かつOpenAthens / Shibbolethのを展開することによって、彼らはSAMLオープンな標準を活用することができます大規模な一般的なメディア/(SAMLプロトコルのShibbolethが使用するものです)アップだけでなく、学術部門ではなく、商業部門でます。

別の問題へのポイント上記

ジョンの答え:最近SAMLとOpenIDのは、その中で、浮上しているオープンな標準の数があります。だから、コンテンツプロバイダは、彼らがネイティブにこれらの一部または全部を実装するかどうかを決定するために行っているが、実装およびサポートのコストが複製できるように、彼らは別のテクノロジー・スタックを使用します。

かなりの数の大手出版社は、 OpenAthensするとして実装されていますこの他の技術では、プラグのオプションを備えた単一のプラットフォームでサポートアテネ、SAML / ShibbolethのとOpenIDの、あまりにも、または内部アプリケーションが接続できるようにカスタムモジュールを書いて、例えばクライアントのユーザーがログインしている請求書や資格システム記録ます。

アクセス管理のこの部門は間違いなくので、あなた自身の方法は、多数のユーザーのためのアプリへのアクセス権を奪うことになるの構築、オープンな標準に向かって動いている。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top