我的组织有几个面向 Web 的 ASP.NET Web 窗体应用程序。他们目前使用启用了模拟的 Windows 身份验证。Web 应用程序在内部托管,但通过不同的域公开,例如 www.abc.com 和 www.xyz.org。
一个新的要求是,将为这些应用程序的所有用户提供一个登录页面,以便通过它登录。
提出的一些解决方案是:
- 实现由 Active Directory (DotNetOpenAuth) 支持的 OpenId Provider,修改现有应用程序以成为此 OP 的依赖方。
- 通过 MS Forefront 威胁管理网关实施 SSO。
我没有这两个方面的经验。提议的解决方案是否可行?各自的优缺点是什么?还有其他可能更合适的解决方案吗?