2

是与一般 SSO best-practices 上的这个问题类似的内容。处理禁用或出于任何原因无法访问的中央身份提供者的最佳方法是什么。如果您的网站允许用户使用他们集中存储的凭据登录,而中央服务不工作或无法访问,您是否:

  • 允许用户在本地站点上重新输入他们的凭据,以便他们可以使用 Web 应用程序(或内容管理系统或其他)的本机登录设施

  • 允许用户请求他们可以在 Web 应用程序本身上使用的另一组辅助凭据(即,当 IDP 关闭时他们可以使用的单独密码)[注意:显然这违背了“单一凭据”的目标,只是抛弃了所有想法]。

  • 允许用户使用相同凭据的多个不同维护者中的任何一个登录(通过向他们提供多个链接到多个提供者,然后尝试每个链接,直到其中一个真正连接并工作)

出于可能显而易见的原因,上述这些解决方案似乎都没有吸引力,因此在您使用最佳替代方法回答时,请随意将它们放在“最差实践”列表中。

4

1 回答 1

2

我认为最好的方法是分散SSO,就像在 Open ID 中实现的那样。如果每个帐户可以有许多提供者,那么如果一个提供者出现故障,您可以故障转移到另一个提供者。

另一方面,如果需要集中式 SSO。我唯一能想到的就是让中央机构为每个用户生成一个加密证书。如果服务具有证书撤销列表的新副本和中央机构公钥的缓存副本,即使中央机构不可用,它也可以验证证书。不幸的是,这种方法可能会遇到可用性问题,因为用户既需要随身携带一份证书副本,又需要在您要求时知道您在说什么。

于 2009-01-12T21:03:11.503 回答