2

我对如何使用 SiteMinder 和 OpenSSO 管理以下场景感兴趣

给定两个 Web 应用程序,并授权在它们之间使用 SSO。App A 是一个简单的应用程序,只需要用户名/密码组合。应用 B 需要多重身份验证。

我们应该如何管理跨两个应用程序的不同身份验证级别?有没有办法在像 SiteMinder 这样的工具中表达这一点,所以如果用户登录到应用程序 A,他们可以被分配一个“基本身份验证级别”,但如果他们点击应用程序 B,他们将面临第二个因素的挑战?

我的直觉是,第二个因素需要在 SiteMinder 级别进行管理,因为 App B 位于其后面,从它的角度来看,身份验证是由 App Server / SSO 管理器强制执行的二元决策:即应用程序被“告知” " 用户是否经过身份验证....App B 不会处理用户拥有的身份验证级别。

SiteMinder 是否管理这种不同级别的身份验证的想法,它是否可以用 SAML 来表达?

我原以为这是一种常见的模式,但我似乎找不到任何关于配置、最佳实践等的文档。

提前致谢,

芬坦

4

2 回答 2

4

这是 SiteMinder 绝对可以做到的。有时它被称为“递升式身份验证” - 这基本上意味着在需要时使用更强的身份验证形式对用户进行身份验证。

它应该由 SiteMinder 的策略引擎集中控制。其他 Web 访问管理产品也有类似的方法。

当您谈论与域外的应用程序联合时,SAML 可能会发挥作用。在 SAML 中,您可以指定一个 AuthnContext,它向其他方指示需要/已执行的身份验证级别。

于 2011-07-11T16:17:13.720 回答
2

似乎 SiteMinder 中满足此要求的功能是分配给每个领域的保护级别。这可用于模拟取决于您最初身份验证的方式/位置的额外授权级别。至少我是这样设计我们的解决方案的。

于 2012-05-07T16:32:12.933 回答