问题标签 [single-sign-on]

我在一家大公司工作，我对内部安全标准的最佳实践很感兴趣。我们在 SAP 上投入了大量资金（超过 5 亿美元），我们的内部环境中也有 .Net 和一些 Java EE。

我从 MS 和 SAP 中找到了一些文档，但它已经过时并且不是很具体。

到目前为止，看起来我们最终可以将 Active Directory 用作所有非 SAP 应用程序的标准用户存储，并将 SAP CUA / Portal 用作 SAP 应用程序。

我对 AD 的一些担忧是：

• 能够为共享计算机上的应用程序主动超时（我们的少数应用程序在农村地区的远程办公室运行，共享计算机数量有限。在这些情况下，具有“超级用户”权限的主管可以使用应用程序，然后应该只有基本特权的职员可以立即使用同一台机器）

• 能够强制用户输入用户名和密码，而不仅仅是从用户的工作站读取凭据 - 因为它为桌面和电子邮件提取相同的凭据，所以它目前不会要求用户登录。这是一个也关注共享计算机上的应用程序。（参见上一个项目符号中的解释）

  就 AD 和 CUA 之间的同步而言，我想非常小心地处理这个问题。我们的预算有限，我想确保如果我们最终将一些东西放在适当的位置来同步商店，它会卖得很好并且提供卓越的价值。如果我们找不到这样的东西，我会很乐意回来建议商店保持独立。SSO 将是理想的，但我曾尝试在 SAML 之前启动 SSO 应用程序，但它并不漂亮。

首字母缩略词：

• SSO：单点登录 SAML：安全性

• 断言标记语言

• CUA：中央用户管理（适用于 SAP）

目前，我们有一小群用户设置在 Microsoft SBS 机器上，因此可以在活动目录下使用。

这些用户以及其他一些用户在第二个 LDAP 服务器 (openLDAP) 上也有条目。这第二台服务器用于对一些不同的事物进行身份验证和访问控制，例如我们内部的基于 Web 的时间表系统、足球小费系统、论坛和颠覆存储库控制。

因此，对于办公室中的组，他们有两个单独的帐户，他们必须记住其 ID 和密码。其中一些内部系统不容易配置为针对多个 LDAP 服务器 (mod_authnz_ldap) 进行身份验证。

由于各种原因，我们不希望额外的用户和组在 SBS 机器上弄乱 Active Directory。

我希望能够以某种方式设置一个可以跨两个现有 LDAP 服务器工作并提供统一视图的虚拟 LDAP 服务器。它会从 AD 中提取用户信息，也可以从 openLDAP 服务器中提取用户信息，或者在内部维护其他用户和组。

（实际上，内部可能会更好，因为有些组仅存在于聚合服务器上，我们希望将 AD 服务器中的用户分配为成员。）

我所知道的唯一一个接近于做我想做的事情的想法是Penrose 虚拟目录服务器，但在我进一步调查之前，我想看看是否还有其他选择。

我真的可以使用一些帮助来解决看似微不足道的问题。总之，我想知道在 Windows 环境中访问在 Apache 中运行的 Perl .cgi 的用户的 Window 登录 ID。

这是我的基本 Apache2 conf 添加：

---- 开始 httpd.conf -----

---- 结束 httpd.conf -----

此外，我还使用以下出色说明在我的机器上启用了 SSL：http: //tortoisesvn.net/docs/release/TortoiseSVN_en/tsvn-serversetup.html#tsvn-serversetup-apache-7

上面的站点要求加载 Apache 模块 mod_auth.so，但我在我的默认 Apache2 安装中找不到它。此外，如您所见，我已将 mod_auth_sspi-1.0.4-2.2.2 模块手动添加到我的 Apache2 环境中。

现在，当我同时尝试http://localhost/cgi-bin/test.cgi和https://localhost/cgi-bin/test.cgi时，我在 http/ 中看不到 REMOTE_USER 的任何内容环境变量。我知道 SSL 正在工作，因为 https 调用显示了大量 SSL 变量。另外，我对 SSL 没有要求，但我只使用它，因为上面的链接说它是获取 Windows 登录信息所必需的。

我真的很感激任何见解。如果有帮助，我很乐意完整分享 httpd.conf 文件。基本上，重申一下，我正在寻找的只是一种在 Windows/Apache2.2 托管环境中捕获我的 Perl .cgi 中的 Windows loginID 的方法。

非常感谢大家的帮助，

猎犬加尼

我们正在开发一种 SSO 解决方案，该解决方案允许用户通过 .net 登录，然后最终访问 PHP 应用程序。我在 PHP 端工作，经过大量工作，我已经对 .net 使用用户名和票证到期日期设置的 cookie 进行了解码、解析和其他操作。

至少我认为我有。我现在的困难是 .net 开发人员现在太忙了，无法设置生成这些 cookie 的测试登录页面，以便我可以真正进行测试。我想知道设置这个测试页面需要多长时间。我的感觉是它不应该花很长时间，但我从来没有做过。（上帝禁止我像一个客户告诉开发人员“应该只需要一个小时左右。”）

我只是想知道我应该合理地期待什么。简单的登录创建一个formsauth票并将登录的用户发送到我的测试页面。FWIW，他们已经为当前正在使用的 .net 应用程序设置了任意数量的登录页面。

编辑：为了澄清，我不会实施这个。我想知道.net 开发人员这样做需要多长时间。

我想登录 1 个应用程序并使用相同的登录令牌对第二个应用程序进行身份验证。我使用了相同的应用程序名称，因此两个应用程序都使用相同的成员资格提供程序.....

我有 2 个 Web 应用程序，使用 IIS 7.0 中托管的 asp.net 3.5、c#。我使用 aspnet_membership 提供程序进行身份验证/授权

它们作为 2 个单独的应用程序并排托管。问题是我可以登录一个应用程序并使用相同的登录对另一个应用程序进行身份验证......

提前致谢

斯图尔特

我有一个 ASP.NET 2.0 Web 应用程序（C#），我想在其中启用单点登录。我只希望某些用户可以访问所有页面，而其他用户只能看到几个页面。我需要对我的 Web.config 文件进行哪些更改，以及我的页面代码隐藏中需要哪些代码？

谢谢

There's a rails recipe that illustrates how to do this in rails 2, but now that sexy rack is in, the solution seemed no longer relevant. How can this be handled in rails 2.3.2?

问题：我们的环境中有几十个一次性应用程序分散在十几台服务器上。一些应用程序通过基于一次性表单/数据库的登录来保护。某些应用程序具有在 web.config 中定义的权限。一些应用程序设置了文件夹级别的 NTFS 权限（一些具有域用户帐户，一些具有外部用户的本地用户帐户）。不用说，这绝对是一团糟。

SSO 解决方案绝对合适，但我应该构建一个、利用现有的 FOSS 解决方案还是购买一个（如果是，哪些？）

我需要能够

• 通过表单登录验证一次，登录令牌自然会从服务器传送到服务器
• 混合匹配域帐户（首选）并为外部用户创建数据库表帐户
• 具有集中的角色/权限管理
• 在用户使用 AD/域帐户进行身份验证的情况下，使用同一帐户允许他们使用的任何应用程序通过集成身份验证连接到数据库
• 一个门户会很好

如果有人能提供一些指导，我将非常感激。

我的公司开发和销售拥有数百名客户的 SaaS 应用程序。我们的一些客户要求我们支持 LDAP 集成，以便针对他们现有的系统验证用户帐户，而不必为他们的每个员工创建另一个登录帐户。似乎这在许多地方被称为单点登录 (SSO)？自然，我们的系统已经有一种机制来维护用户帐户资料并从我们的登录页面验证这些用户帐户。

我们对 LDAP 有点无知，并且对一些事情感到困惑。请原谅可能使用了错误的术语（请记住，我们对此有点无知）。

我们认为我们了解这可能如何工作的基础知识：

• 我们的客户将他们的帐户配置为为其帐户“打开”“远程身份验证”功能。他们提供将对其用户进行身份验证的远程 URL。
• 用户来到我们的登录页面并尝试使用他们公司的 LDAP 系统提供的用户名和密码登录。
• 我们的登录页面将安全地将登录凭据（可能以某种约定的格式加密和散列）转发到我们客户提供的“远程身份验证”URL。
• 客户的脚本将对用户进行身份验证，然后使用“身份验证状态”将他们重定向回我们的站点。
• 我们的页面将分析“身份验证状态”并接受用户是否已登录。

假设上述信息甚至是半正确的，我们仍然需要每个用户在我们的系统中都有一个帐户。难道我们不需要某种方式来将我们的用户帐户配置文件与 LDAP 目录中的用户配置文件同步吗？这仅仅是一个引用 LDAP 系统中用户 ID 的“外部 ID”吗？那么是否需要客户的“远程身份验证”脚本必须向我们的系统提供该 ID，以便我们知道系统中的哪个用户帐户与登录相关联？

我们缺少什么？

顺便说一句，我们的平台是 IIS、ASP.Net 2.0 和 SQL Server 2005。

对于基本的集中式身份管理/SSO 服务，您有什么建议？它必须是开源的，具有可插入的身份管理器（例如：LDAP、DB、openID 等）并提供相当多的 API 访问选项（例如：Web 服务、REST 等）。它还必须是可集群的以实现高可用性。

约索？中国科学院？其他的？