我在 AIX 服务器上有一个 WebSphere,在 Windows XP 上有一个简单的 java 客户端(通过 http 连接到服务器)。我想将 SSL 用于客户端授权。主要是,我有一个智能卡读卡器。
唯一的问题是 - 智能卡已经使用过一次来访问 Windows,我们想省去客户端在客户端应用程序启动期间重新输入 PIN 的麻烦。
我开始阅读很多有关 SSO 的内容 - 我确信这可以帮助解决我的问题。这使我在他们的红皮书中阅读了有关 WebSphere 对 SPENGO 的支持的信息。问题是它需要来自 Active Directory 人员的大量支持——他们并不热衷于提供帮助——而且我担心他们的参与会减慢合并速度。
所以现在我正在研究 OpenSSO、WAFFLE、JOSSO 和其他可能对我有帮助的框架。
但是等等 - 这一切似乎都是一个重大的过度规范。我想要的只是为我的客户保存第二个智能卡提示。我真正想要的是一种方法 - 以下之一:
-Windows XP 及更高版本的设置,使我能够检索智能卡内的证书(以及一些访问加密/解密功能以验证证书)。
- 某种对窗口的访问以允许我这些选项
-Perheps,某种 java pkcs#11 方法,使我能够访问与 Windows 相同的连接。
- 这种能力供应商是特定的吗?
这甚至可能吗?维基百科单点登录条目http://en.wikipedia.org/wiki/Single_sign-on谈到了使用智能卡的 SSO - 但到目前为止,我还没有找到任何方法来做到这一点。我所知道的是,如果我尝试将它与常规 pkcs#11 代码一起使用,我的智能卡会再次提示。
总结一下: 1. 是否有一个 windows/verndor specific/java 使我能够使用智能卡进行 SSO。2. 如果不推荐或不推荐,鉴于我不想依赖 Active Directory 人员,我应该使用其他什么 SSO 解决方案?3. 在最坏的情况下,只有使用 Kerberose 和 ActiveDirectory 才能有效地实现 SSO——在 ActiveDirectory 方面,什么实现要求不高?
谢谢你。