我目前正在尝试扩展我们的 SSO 解决方案。我的公司使用在 Tomcat 上运行的 JOSSO 服务器为用户启用单点登录。现在我想使用用户 Windows 凭据自动登录 JOSSO 服务器。我研究了各种方法,即。Kerberos、Spnego 和 Windows 集成身份验证,但我不知道它们如何协同工作。
谁能告诉我我需要哪些物理组件以及它们如何粗略地相互通信?
问问题
639 次
1 回答
0
物理组件及其协同工作应在此处可见:
http://www.josso.org/confluence/display/JOSSO1/Architecture+Overview
由于 Kerberos 在 Windows 中与 NTLM 混合
https://en.wikipedia.org/wiki/NT_LAN_Manager#Availability_and_use_of_NTLM
Microsoft 已将 NTLM 哈希添加到其 Kerberos 协议的实现中,以提高互操作性
从使用中可能并不明显,实际的 SSO 技术运行在下面。
您应该对以下页面感到满意,例如:
测试 Windows 身份验证 使用先前创建的帐户(即 user1)登录到与 Active Directory 域关联的 Windows 工作站。打开 Internet Explorer 实例并访问受 JOSSO 保护的资源 URL。您应该被透明地授予对受保护资源的访问权限,而无需任何用户名和密码提示。
通常,您将在托管 SSO 合作伙伴应用程序的每个容器中安装一个代理。例如,如果您在 Tomcat 和 JBoss 上部署了应用程序,则必须在每个容器中安装一个代理。代理是服务提供者(合作伙伴应用程序)运行时环境的一部分。
- 例如(取决于您从上一页选择的 Web 容器)http://www.josso.org/confluence/display/JOSSO1/Setup+JOSSO+Agent+-+Tomcat+6.0
使用此配置,您可以设置: 网关登录 URL,单点登录代理将在受保护的资源访问请求上重定向用户,以便他可以进行身份验证。网关注销 URL,单点登录代理将在注销请求时重定向用户。用于调用单点登录网关服务的具体服务定位器。单点登录合作伙伴应用程序 此配置文件仅定义一个与 /partnerapp Web 上下文关联的合作伙伴应用程序。这意味着与 /partnerapp Web 上下文关联的 Web 应用程序将置于单点登录之后。您可以定义其他合作伙伴应用程序。
于 2016-01-13T14:27:06.827 回答