Реализовываете решение единого входа для веб-приложений?

Question

Я хочу протестировать веб-аутентификацию единого входа для моего университета (в настоящее время работающего студента), я много читал о WebAuth , используемом другими университетами. Хотя я думаю, что решения хороши, мы очень маленький университет, но нынешняя система входа в систему и аутентификация ужасны для пользовательского опыта (вход в систему для каждой службы), и она очень выиграет от такой системы.

Прежде чем перейти к ИТ со своим решением, я хотел бы изучить и изучить как можно больше, а также выявить некоторые проблемы безопасности. В настоящее время я являюсь единственным разработчиком php и перехожу на .NET, в идеале мне бы хотелось, чтобы обе системы проходили аутентификацию.

Как уже упоминалось, я много читал, но на самом деле не имею опыта работы с «Сетевым администратором», чтобы понять, как некоторые части сочетаются друг с другом, где / как я могу начать создавать тестовую систему?

Answer 1

Новым решением проблем единого входа является Идентификация на основе утверждений на основе Открытых стандартов .

На платформе .NET Microsoft теперь предлагает Windows Identity Foundation (WIF), который предоставляет строительные блоки для включения (веб) приложений с этими протоколами.

Я не знаю, какие платформы доступны на других платформах, но важно помнить, что WIF - это просто реализация Microsoft этих открытых стандартов, поэтому (по крайней мере, в теории) она должна работать и с другими платформами.

Answer 2

Загляните в SAML: http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language

Answer 3

Проверить LDAP? Что-то вроде:

using System.DirectoryServices;

private bool AuthenticateUser(string username, string password)
    {
        String strLdap = "LDAP://YOURACTIVEDIRECTORYSERVER/CN=" + username + ",OU=" + username[0];
        user = new DirectoryEntry(strLdap, username, password, AuthenticationTypes.Secure | AuthenticationTypes.Encryption);
        try
        {
            // Bind to the native AdsObject to force authentication.
            Object obj = user.NativeObject; // Will throw an exception if not authenticated
            return true; // User is authenticated
        }
        catch
        {
            return false; // User is not authenticated            
        }
    }

Answer 4

Дедушка всех систем единого входа - Kerberos, разработанный в MIT в 1980-х годах. Это может быть излишним для простого веб-единого входа, но оно всеобъемлющее и поддерживается каждой ОС.

http://www.kerberos.org/

Answer 5

Если вы из университета США, я бы изучил Shibboleth, который является стандартным поставщиком аутентификации SSO, используемым во многих школах.

Он также служит механизмом проверки того, что пользователь на других сайтах, не относящихся к школе, на самом деле является студентом. Microsoft использует это, например, для проверки статуса учащегося до предоставления учащимся бесплатного доступа к программному обеспечению в DreamSpark.