Лучший способ обработать / объединить несколько логинов?

Question

это сценарий: Существует несколько веб-систем (в основном, lampp / wampp), большинство из которых имеют отдельную информацию для входа (некоторые делятся ею). Мы рассматриваем преимущества / недостатки, связанные с их объединением или, по крайней мере, упрощением работы с компонентами администрирования пользователей.

Из-за особенностей некоторых систем (смешанных пакетов пользовательских систем OSS, программного обеспечения, разработанного внутри компании и стороннего коммерческого программного обеспечения) мы не можем объединить все экраны входа в систему на одном экране.

Идея, которую можно обойти, - это своего рода главный мозг для входа в систему, в котором мы можем контролировать все создание имени пользователя, разрешения, инактивацию и т. Д. Это все равно заставит людей вручную войти в каждую систему, но, по крайней мере, это сделает административная нагрузка на управление пользователями проще.

Существуют ли какие-либо известные решения для такого рода проблем, которые включают (необязательно, это можно было бы рассмотреть) изменение как можно меньшего количества кода / систем?

Редактировать: OpenID у нас не работает , поскольку у нас разные потребности входа в систему и в некоторых системах мы не можем напрямую контролировать, как они обрабатывают процесс входа в систему (но мы можем контролировать пользователей / пароли ).

Answer 1

Мы сделали так, чтобы все данные для входа были централизованы в одном репозитории (для нас Active Directory), а затем написали библиотеку c # для аутентификации с помощью оболочек для всех языков, которые мы запрограммировали (PHP, C, .NET и т. Д.). а затем просто написал некоторый клейкий код в соответствующем месте для каждого приложения. Помимо наших собственных приложений, мы успешно вошли в Mediawiki, Subversion, ActiveCollab и Apache таким образом.

Это включает в себя написание разумного количества кода, но не смешных объемов, и это будет работать и в будущем. Я не вижу практического решения, которое было бы проще, чем это.

Читая ваш вопрос, я отмечаю, что это все равно более или менее то, о чем вы думаете, но это сработает!

Answer 2

Вокруг него большая индустрия, которая называется IAM - Identity Access Management. Решения IAM в основном делают то, что вы хотите - управляете пользователями, полномочиями пользователей и переводите их внутреннее состояние во множество систем. В зависимости от возможности интеграции, у вас может быть «SSO» - единый вход для некоторых программ или у вас может быть один источник аутентификации. Первый отличается от более позднего тем, что при использовании единого входа пользователю необходимо один раз ввести учетные данные, а в последнем случае он использует только те же комбинации логина и пароля.

Также IAM управлял бы в меру своих возможностей пользовательскими правами. Например, сетевое оборудование может поддерживать только одного пользователя / пароль. Тогда IAM-решение автоматически откроет терминал и войдет в систему, когда пользователь запросит его; при условии, что пользователь находится в правильной группе безопасности.

Внедрение решения IAM может значительно облегчить управление системами.

Я не могу рекомендовать какое-либо конкретное решение, просто имейте в виду, что переход от текущего метода к IAM потребует не только интеграции с другим программным обеспечением, но и некоторых изменений в корпоративной культуре, поскольку одна система свяжет все другие.

Answer 3

Многим людям нравится OpenID для такого рода вещей. Я не уверен в его возможностях в интрасети.

Другая идея заключается в использовании вашей «мозговой» системы для передачи аутентифицированного имени пользователя приложениям сестры / брата в виде сообщения формы, затем обработки аутентификации в этой системе и создания их билетов безопасности с тем, что было отправлено.

Надеюсь, вы найдете то, что ищете!

Ура!