我正在研究在一系列网站上实现单点登录的选项(我的意思是一组用户凭据针对单个共享身份存储进行身份验证)。
所有网站名义上属于同一个组织(因此我们可以假设它们之间存在信任关系),但托管在不同的域上,并且跨越不同的技术 - inc。.NET、Java 和 PHP。
我们正在将所有用户配置文件整合到一个单一的后端 CRM 系统中,并且需要某种方式来为所有当前(和未来)的 Web 资产提供对此的可靠访问。
我们有一个新生的 SAML 提供程序正在运行,默认选项是跨所有(当前)不受支持的属性扩展对此的访问。这是最好的选择吗?所有对 SSO 产品(CAS、CoSign 等)的在线参考似乎都非常古老(2004 年以上)。
看看支持 .NET 的 Microsoft ADFS v2.0
有商业产品可以做到这一点,例如 PingIdentity,以及开源产品,例如 OpenAM。
这些产品都支持 SAML。
对于 Java,将 OpenAM 之类的东西放在它前面或使用 OpenSSO / OpenAM fedlet。
对于 PHP,请使用 simpleSAMLphp。
用于获取当前引用的关键字将是“SAML 联合”。
在这里使用 SAML 协议非常有意义。如果/当您的公司决定朝这个方向发展时,它甚至可以让您与基于云的服务联合。
SAML 不要求使用具有公共 DNS 根的完全限定域名来引用目标服务器(在 MS 用语中也称为“服务提供商”或“依赖方”)。它也与技术无关,因此服务提供商运行什么 HTTP 堆栈实际上并不重要。
我不确定您的后端 CRM 系统可以使用哪些接口,但 LDAP 或 SQL 连接通常用于获取身份声明信息并构建 SAML 响应。
您可能想要研究的一些身份提供程序产品包括 Microsoft ADFS、PortalGuard(我为之工作)和 Ping。