4

我是产品经理而不是开发人员,所以如果我的问题很愚蠢,请保持温和。

我目前正在尝试根据客户要求(实际上是 20 个)将我们的软件与 RSA SecurID 集成。作为记录,我不想这样做,并且根据我的研究,那里有更好更便宜的解决方案,但我离题了。

我们可以解决的问题之一是您无法直接与他们的身份验证管理器(“AM”)进行通信。相反,您必须使用此 RSA 代理并将调用发送到与 AM 通信的代理。当您调用代理时,您还需要为其提供特定文件的文件路径,这些文件包含与 AM 通信所需的内容(证书、地址、AM 的最后状态等)。我们的软件是共享的 SaaS,我们不能只是将所有这些客户文件转储到服务器硬盘上。理想情况下,它们需要在数据库中,但代理不会接受要发送给它的文件,就像在对象中一样,它希望它们位于物理文件路径中。

所以我的问题是:

  • 有没有其他人针对 RSAs SecurID 解决方案开发过?
  • 你是如何处理存储 sdreq、nodesecret 等的?
  • 一般来说,当文件驻留在数据库 (.NET) 中时,您将如何处理需要提供程序文件路径的情况?
4

1 回答 1

5

实现 SDTI 协议并不难,只要你使用 SDK。您将需要 RSA 的帮助。例如,您需要一个有效的许可证才能下载 SDK,您将在购买服务器进行测试时获得该许可证。

支持令牌也意味着支持一些故障模式,例如:

  • 具有时钟偏差的令牌(重新同步令牌)
  • 没有 PIN 的令牌(您必须提示输入一个)
  • 如果用户未提供有效信息,则所有来回(例如:新引脚不满足复杂性要求)

我建议您实施 Radius 协议作为中间解决方案。我知道的所有 Authentication Manager 版本也都实现了 Radius 协议。它是标准化的,并且有机会与 SecurID 以外的其他解决方案一起使用。它可以让您更快、更便宜地启动和运行。Radius 在网络上的加密保护方面稍弱一些,但您不必处理节点机密。

另一方面,您可能需要做更多的工作来支持高可用性,具体取决于您选择的 Radius 客户端。

那里有一些 Radius .Net 客户端库,这个 SO 问题是一个好的开始

您的测试设置将包括NTRadPing和(我假设)具有网络策略角色的 Server 2008 R2 以充当测试服务器。

于 2013-11-04T13:44:26.193 回答