SSO-plus-SSL и Shibboleth: какие варианты для сайтов с многочисленными виртуальными хостами? - PullRequest
1 голос
/ 07 января 2009

Справочная информация: Клиент X - это малобюджетная некоммерческая организация, которая, тем не менее, настроена на виртуальные хосты, и виртуальные хосты очень часто размножаются. Клиент X также имеет много пользователей и заинтересован в том, чтобы перевести их на решение единого входа. Таким образом, все пользователи могут использовать одинаковые учетные данные на всех виртуальных хостах.

Также было в значительной степени предписано, что мы используем [Shibboleth Single-Sign-on] (http://en.wikipedia.org/wiki/Shibboleth_(Internet2) для обработки аутентификации.

Проблема: Shibboleth Single Sign On использует SSL как часть своего протокола, но получение нескольких виртуальных хостов для использования SSL не является прогулкой в ​​парке. Этот вопрос о виртуальных хостах с SSL подробно описывает некоторые подводные камни .

Вопрос: Как лучше всего продолжить этот сценарий (резюме):

  • несколько виртуальных хостов на apache
  • настройка отдельного IP и NIC для каждого виртуального хоста - это почти не вариант
  • SSL в значительной степени требует отдельного IP
  • им всем нужен какой-то SSO
  • на нас оказывают сильное давление, чтобы использовать Shibboleth в качестве поставщика единого входа

Есть ли что-то, что мы можем здесь упустить или какой-то способ решить эту проблему, если не считать отдельного IP для всех vhosts?

Ответы [ 2 ]

2 голосов
/ 07 января 2009

У меня есть клиент с точно такой же ситуацией и способом, которым они решили его, это купить домен с подстановочными знаками * .example.com, и у всех виртуальных хостов есть конкретный поддомен на example.com для решения этой проблемы.

Это было с Shibboleth и сработало, хотя вам нужно, чтобы домены хостов согласились попасть под один родительский домен для единого входа.

1 голос
/ 17 июня 2010

Если сами данные, которыми вы обмениваетесь с данным сайтом (поставщиком услуг), не чувствительны к безопасности, вы можете просто отключить SSL для доступа к сайту.

Мы говорим о двух каналах SSL.

  • тот, который используется, когда SP связывается с IDP
  • другой получает доступ к сайту

Только последний должен быть «общеизвестным» (за что нужно платить) сертификатом.

Можно использовать артефакты HTTP, чтобы избежать отправки данных из IDP (который защищен SSL) в SP, который не является. Таким образом можно избежать предупреждения безопасности браузера.

Эта настройка по-прежнему защищает учетные данные пользователя. Данные, которыми вы обмениваетесь с сайтом, не будут.

...