2

我们正在考虑为合作伙伴公司提供 SSO,以便他们无需单独登录即可访问我们的网站。合作伙伴公司已经在其内部网以及其他合作伙伴中实施了 SSO。我们只需要能够接收 SAML 令牌并确认它们是有效的(可以使用 Browser/Post pr Browser/Artifact 配置文件)。我们不需要为我们的域用户实施 SSO。

问题:是否值得/可能实现一个服务(usng WCF?)来接收和处理这些由第三方发布的令牌,或者我们是否需要在我们这边实现一个供应商应用程序(如 SiteMinder、PingFederate 等)甚至是能够在该联盟中充当依赖方。

4

3 回答 3

2

您应该看看的一个开源解决方案是OpenSSO。您可以下载并部署 OpenSSO 作为全方位服务的 Web 访问管理系统,包括通过 SAML 2.0 和其他协议的联合单点登录,或者仅部署Fedlet,它提供了一个简单的服务提供者/依赖方实施(包括 ACS)适用于 Java 和(现在预发布,但很快支持).Net。

于 2009-06-10T17:57:53.873 回答
2

我们使用 OpenAM Fedlet 取得了巨大成功。OpenAM 为 IDP 预配置了一个 WAR 文件,然后您将其部署在 SP 上。然后,您必须与应用程序上的会话管理集成,以告知用户已通过身份验证。它只支持 SAML 2,这就是它如此轻量级并且可以与您的应用程序共存的原因。

OpenAM 是 OpenSSO 的新名称,因为 Sun-Oracle 计划放弃它。它托管在 forgerock.com 上。

我也听说过关于 Shibboleth SP 的好消息。它在 Apache 或任何 Web 服务器下作为 CGI 运行。它使用 REMOTE_USER 变量将用户 ID 传递给您的应用程序。Shibboleth 是一个基于 OpenSAML 库的 Internet2 中间件项目。

于 2011-03-01T20:00:54.053 回答
0

可以在此处找到几个开源 SAML 实现的列表。

OpenSSO、OpenSAML 和 Shibboleth 似乎是主要的选择。

于 2009-07-01T10:20:59.350 回答