这是场景:存在多个网络系统(主要是lampp / wampp),其中大多数具有单独的登录信息(有些共享)。我们正在考虑以某种方式统一它们的好处/坏处,或者至少使处理用户管理部分更容易。
由于某些系统的性质(它混合了自定义 OSS 系统、内部开发的软件和第 3 方商业软件),我们无法将所有登录屏幕统一到一个屏幕中。
传递的一个想法是一种登录大师大脑,我们可以控制所有用户名的创建、权限、停用等。这仍然会让人们不得不手动登录到每个系统,但至少会减轻管理负担用户管理更轻松。
对于此类问题,是否有任何已知的解决方案涉及(必须考虑)更改尽可能少的代码/系统?
编辑: OpenID 对我们不起作用,因为我们有不同的登录需求,有些系统我们无法直接控制它们如何处理登录过程(但我们可以控制用户/密码)。
我们所做的是将所有登录详细信息集中在一个存储库中(对我们来说是 Active Directory),然后编写 ac# 库来使用我们编写的所有语言(PHP、C、.NET 等)的包装器进行身份验证。然后在每个应用程序的适当位置编写一些胶水代码。除了我们的内部应用程序之外,我们还以这种方式成功登录了 Mediawiki、Subversion、ActiveCollab 和 Apache。
它确实涉及编写合理数量的代码,但不是荒谬的数量,它也适用于未来。我看不到比这更容易的实际解决方案。
阅读您的问题,我注意到这或多或少是您的想法,但它会起作用!
它周围有一个很大的行业,它被称为 IAM - 身份访问管理。IAM 解决方案基本上可以满足您的需求 - 管理用户、用户权限并将其内部状态转换为众多系统。根据集成的可能性,您可能有“SSO” - 某些软件的单点登录,或者您可能有单一身份验证源。前者与后者的不同之处在于,使用 SSO 的用户需要输入一次凭据,而后者只有相同的登录名和密码组合。
此外,IAM 将尽可能地管理用户权限。例如,一个网络设备只能支持一个用户/密码。然后 IAM 解决方案会在用户请求时自动打开终端并登录;假设用户在正确的安全组中。
实施 IAM 解决方案可以大大简化系统管理。
我不能推荐任何特定的解决方案,请记住,从当前方法过渡到 IAM 需要的不仅仅是与不同软件的集成,而且还需要对企业文化进行一些改变,因为一个系统将绑定所有其他系统。
很多人似乎都喜欢 OpenID 做这类事情。不过,我不确定它的 Intranet 功能。
另一个想法是使用您的“大脑”系统将经过身份验证的用户名作为表单帖子传递给姐妹/兄弟应用程序,然后在该系统上处理身份验证并使用发送的内容创建他们的安全票证。
希望你能找到你要找的东西!
干杯!