Одиночный вход для удаленных анкет Аутентифицированный сайт

Question

У нас есть внешний сайт, прошедший проверку подлинности.

Новый клиент запросил, чтобы они не хотели, чтобы их пользователи должны были поддерживать (помнить) и вводить учетные данные на наш сайт, а также чтобы они могли просто легко входить в систему, используя свои учетные данные сети Windows.

Последний раз, когда я проверил, это было невозможно, но я подумал, было ли у кого-то подобное требование и как они его достигли.

Должны ли мы расследовать использование поставщика единого входа?

Answer 1

Правильный способ решения этой проблемы - принять SAML 2.0 для обмена информацией об идентификаторе пользователя между вашим приложением и сетевыми кредитами клиента вашего клиента (хранятся в Active Directory). Принятие SAML в качестве параметра аутентификации дает вам максимальную безопасность/гибкость и позволяет вашему клиенту реализовать любой тип аутентификации, который они хотят с их помощью. SAML становится стандартным методом, в котором вы можете безопасно обмениваться идентификационной информацией с вашими клиентами.

На ОЧЕНЬ высоком уровне ваш клиент будет реализовывать поставщик удостоверений личности SAML 2.0, который позволяет им использовать существующие учетные данные Windows (есть много сторонних приложений, которые позволят им легко сделать это. Проверьте pingone.com как один пример [Примечание: я работаю для Ping Identity]). После того, как пользователь будет надежно аутентифицирован, ответ SAML с цифровой подписью генерируется IDP (который содержит идентификатор пользователя) и отправляется через браузер в ваше приложение. Ваше приложение будет проверять ответ, а затем либо предоставить пользователю доступ к вашему приложению, либо нет.

Некоторые указатели, которые помогут вам понять поток лучше -

• http://documentation.pingidentity.com/display/PF70/IdP-Initiated+SSO--POST#IdP-InitiatedSSO--POST-1056251
• http://en.wikipedia.org/wiki/SAML#The_SAML_Use_Case

Ping Identity также есть сервис, который позволит вам быстро реализовать требования Provider 2.0 Обслуживание в SAML через простой API RESTful (https://www.pingone.com/#developer).

НТН - Ян

Answer 2

Похоже, ваш клиент должен развернуть ADFS2.0 в своей инфраструктуре. ADFS - это поставщик удостоверений, который предоставляет идентификаторы Active Directory для приложений с расширенными правами.

Затем в вашем приложении вы просто реализуете аутентификацию WS-федерации с помощью удаленных adfs. Технически, у вас есть два разных потоки, то:

• некоторые пользователей войти с их именами пользователей/пароли
кнопку на странице входа «вход в системе с удаленным ADFS», который инициирует удаленную аутентификацию
• других пользователей clicka - он перенаправляет на удаленные adfs, где пользователи предоставляют имя пользователя/пароль, а затем возвращается заявка на токен SAML, возвращающая ваше приложение. Претензии могут описывать имя пользователя, их адрес электронной почты, идентификатор пользователя, роли (группы) или любые другие атрибуты Active Directory.

Поскольку ADFS2 является свободно загружаемым компонентом для Windows Server, у вас не должно быть серьезных проблем при его развертывании.

Это бесплатно книга должна быть удобной

http://msdn.microsoft.com/en-us/library/ff423674.aspx