Стратегия единого входа в устаревшие приложения
https://stackoverflow.com/questions/51279
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мне интересно, какие стратегии люди используют для уменьшения необходимости входа в систему с устаревшими приложениями и насколько они эффективны?
У нас есть интранет на базе ASP.Net, и мы владеем множеством устаревших приложений, но не всеми.У нас также есть BizTalk, и мы также рассматриваем возможность использования его механизма единого входа.
Решение
Хорошим компромиссом между усилиями/переработками и удобством единого входа является сохранение списка пользователей, привилегий, ролей и т. д. в устаревшем приложении.Внесите необходимые изменения для автоматического входа пользователя в ваше приложение на основе его учетной записи (обычно учетной записи Windows или сети).
В настоящее время я запускаю несколько приложений, использующих этот метод входа, и благодаря этому они кажутся более интегрированными, хотя на самом деле это не так.
Еще одно преимущество, которое мы обнаружили, заключается в том, что люди не могут делиться паролями к устаревшим приложениям.Они с гораздо меньшей вероятностью раздадут пароль администратора, который также предоставит другим доступ к их электронной почте или данным о заработной плате!
Другие советы
Несколько хранилищ идентификационных данных для каждого приложения?Возможно, это не решение для единого входа, но пробовали ли вы поискать что-то более целенаправленное, например MS Identity Lifecycle Manager?Это упростит синхронизацию идентификационных данных между приложениями, а также является подключаемым, что означает, что вы можете подключить свой собственный код для синхронизации между различными системами.Поэтому, если вы измените идентификационную информацию (т.данные для входа) на портале ILM, вы можете распространить их на разные системы.То же самое касается предоставления и отмены идентификации.Единая точка входа.
Я предположил, что вы можете использовать biztalk и для подобных целей.
Что касается решения по-настоящему единого входа, при котором вы просто вошли в систему один раз, и вам не нужно снова входить в разные приложения.Я еще не нашел ни одного.
Я предположил, что если в ваших устаревших приложениях есть подключаемый модуль поставщика удостоверений, это выполнимо, то есть вы можете настроить систему входа в систему для подключения к вашему единому источнику достоверности идентификационных данных, что бы это ни было.
Мы сделали две вещи со старыми учетными записями.(устаревшие веб-приложения)
Сначала мы сопоставили устаревшие учетные записи с их учетными записями для входа в систему (работающими в Windows Active Directory).
Затем поверх устаревших приложений (веб-интерфейсов) был применен фасадный экран входа в систему. Это запрашивало вход в AD, который затем обратно сопоставлялся с учетной записью входа в устаревшие приложения и назначал соответствующие права пользователю, используя устаревший экран входа в систему. Модель безопасности системы.Пользователь получил токен для сеанса, который оставлял ему двери открытыми.
Это дало нам преимущество, заключающееся в том, что нам не нужно было модифицировать устаревшие приложения (например, приложение x имело бы только цифры для идентификатора, а пользователь использовал бы вход в Windows (буквенно-цифровой), а также достигало бы псевдоединого входа с точки зрения клиента.
Другой вариант, который имел смысл, заключался в том, что на новом экране входа в систему он проверял несколько хранилищ безопасности, поэтому даже если пользователь не решил использовать вход в Windows, он все равно мог войти в систему с устаревшим именем учетной записи.Очевидно, что это имеет некоторые побочные эффекты, но также может помочь облегчить трудности перехода, которые конечные пользователи иногда испытывают при переходе между системами.
Также есть такие программы, как Единый вход Citrix XenApp которые используют совершенно другой подход к проблеме.
В дополнение к замечаниям Джимми об использовании ILM, эта конкретная система допускает интеграцию со службой AD PCNS (служба уведомлений об изменении пароля), которую можно использовать с ILM (ILM «видит» событие смены пароля и может публиковать его в других потребляющих приложениях). /services), чтобы хотя бы гарантировать, что изменение пароля пользователя в одной системе отразится и в других.
