1

背景:客户 X 是一家低预算的非盈利机构,但在虚拟主机上配置了很多活动,并且虚拟主机成倍增加。客户 X 也有很多用户,并且有兴趣让他们使用单点登录解决方案。这样,所有用户都可以在所有虚拟主机上使用相同的凭据。

我们也几乎强制要求使用 [Shibboleth 单点登录]( http://en.wikipedia.org/wiki/Shibboleth_(Internet2)来处理身份验证。

问题: Shibboleth Single Sign On 使用 SSL 作为其协议的一部分,但让多个虚拟主机使用 SSL 并不是在公园里散步。 This question about virtual-hosts with SSL详细介绍了一些陷阱

问题:处理这种情况的最佳方法是什么(总结):

  • apache上的多个虚拟主机
  • 为每个虚拟主机设置不同的 IP 和 NIC 几乎不是一种选择
  • SSL 几乎需要一个单独的 IP
  • 他们都需要某种 SSO
  • 我们在使用 Shibboleth 作为 SSO 提供者方面承受着巨大压力

有什么我们可能在这里遗漏的东西,或者有什么方法可以解决这个问题,而不需要为所有虚拟主机提供单独的 IP?

4

2 回答 2

2

我有一个客户的情况完全相同,他们解决的方法是购买通配符域 *.example.com 并让所有虚拟主机在 example.com 上都有一个特定的子域来解决这个问题。

这是 Shibboleth 并且确实成功了,尽管您需要主机域同意属于 SSO 的一个父域。

于 2009-01-07T17:43:30.060 回答
1

如果您与给定站点(服务提供商)交换的数据本身不是安全敏感的,您可以关闭 SSL 以访问该站点。

我们正在谈论两个 SSL 通道。

  • SP 与 IDP 通信时使用的一种
  • 另一个正在访问该站点

只有后一个应该是“知名”(您必须支付的)证书。

可以使用 HTTP 工件来避免将数据从 idp(受 SSL 保护)发布到未受 SSL 保护的 SP。这样可以避免浏览器的安全警告。

此设置仍可保护用户凭据。您与网站交换的数据不会。

于 2010-06-17T09:02:18.920 回答