integration - 使用旧应用程序进行单点登录的策略

Question

我想知道人们使用什么策略来减少旧应用程序的登录以及他们发现它们的效果如何？

我们有一个基于 ASP.Net 的 Intranet，并且拥有很多遗留应用程序，但不是全部。我们也有 BizTalk，并且也在考虑使用它的 SSO 引擎。

Answer 1

在工作量/返工和单点登录的便利性之间的一个很好的折衷方案是继续在旧版应用程序中维护用户、权限、角色等的列表。进行必要的更改以根据用户帐户（通常是他们的 Windows 或网络帐户）自动将用户登录到您的应用程序。

我目前正在运行几个使用这种登录方法的应用程序，这使它们看起来更加集成，即使它们不是。

我们发现的另一个优势是它可以阻止人们将密码共享给遗留应用程序。他们不太可能分发管理员密码，这也让其他人可以访问他们的电子邮件或工资单详细信息！

Answer 2

每个应用程序有多个身份存储？可能不是单点登录解决方案，但您是否尝试过寻找更有针对性的解决方案，例如 MS Identity Lifecycle Manager？它将简化应用程序之间的身份同步，并且它也是可插拔的，这意味着您可以连接自己的代码来进行不同系统之间的同步。因此，如果您更改 ILM 门户中的身份信息（即登录信息），您可以将这些信息传播到不同的系统。配置和取消配置身份也是如此。单点入口。
我想您也可以将 biztalk 用于类似的事情。

至于真正的单点登录解决方案，您只需登录一次，无需再次登录到不同的应用程序。我还没有找到一个。

我想如果你的遗留应用程序有一个可插入的身份提供程序模块，它是可行的，这意味着你可以自定义登录系统以连接到你的单一身份真实来源，无论它可能是什么。

Answer 3

我们对遗留账户做了两件事。（旧版基于 Web 的应用程序）

我们首先将旧帐户映射到其系统登录帐户（在 Windows Active Directory 中运行）。

然后将外观登录屏幕应用于旧应用程序（基于 Web）的顶部，这将请求 AD 登录，然后将反向映射到旧应用程序登录帐户并使用旧应用程序为用户分配适当的权限系统安全模型。用户收到了一个会话令牌，为他们打开了大门。

这给了我们不必改造遗留应用程序的好处（例如，会发生的情况是应用程序 x 只有数字作为 ID，并且用户使用 Windows 登录（字母数字），并且还从客户端的角度实现了伪单点登录。

另一个有意义的选项是在新的登录屏幕上，它将检查多个安全存储库，因此即使用户没有决定使用他们的 windows 登录，他们仍然可以使用旧帐户名登录。显然，这确实有一些副作用，但也可以帮助缓解最终用户有时会在系统之间移动的过渡痛苦。

还有像Citrix XenApp Single Signon这样的程序采用完全不同的方法来解决这个问题。

Answer 4

除了 Jimmy 关于使用 ILM 的观点之外，这个特定系统确实允许与 AD PCNS（密码更改通知服务）服务集成，该服务可以与 ILM 一起使用（ILM“看到”密码更改事件并可以将其发布到其他消费应用程序/services) 至少确保当用户的密码在一个系统中更改时，它会反映到其他系统中。