Как аутентифицировать пользователей на одном сайте и передавать учетные данные на другой сайт? (Аутентификация Windows, ASP.Net)

Question

У нас есть несколько веб-приложений, выполняющих проверку подлинности Windows.
Пользователи заходят на веб-сайты, используя домен \ имя пользователя, которое отличается от имени домена / имени пользователя \ другого, которое используется на локальных компьютерах.
Учитывая, что у нас есть 2 сайта One.xyz.com и Two.xyz.com, на которых запущена проверка подлинности Windows (и пользователь входит в систему, используя домен \ имя пользователя), можно ли перенаправить пользователя со страницы на One.xyz.com на на домашнюю страницу Two.xyz.com, не вводя свои учетные данные снова после того, как он уже ввел их на One.xyz.com?
Можно ли сделать это с помощью ASP.Net?

С уважением,

Answer 1

То, что вы ищете, называется Single Sign-On, и существует широкий спектр коммерческих продуктов, способных удовлетворить ваши потребности. Многие из них передают учетные данные через переменные сервера через HTTPS, чтобы пользователи не видели учетные данные в URL-адресе. Я работал с компаниями, которые хотели «свернуть свои собственные» и использовали другие подходы (сеансовые ключи, которые ссылаются на третий сервер, зашифрованные и чувствительные ко времени строки URL и т. Д.).

Для начала вам нужно прочитать запись в Википедии о едином входе (она также связана с SAML). Возможно, вы захотите посетить некоторые из наиболее популярных коммерческих веб-сайтов поставщиков, такие как Passlogix и Imprivata (хотя существуют десятки, поэтому не используйте этот список как исчерпывающий или даже особенно рекомендуется - просто популярно).

Answer 2

SharePoint поддерживает SPNEGO аутентификация, форма единого входа. MSDN имеет документацию по использованию SPNEGO для единого входа в систему .net. Посмотрите на Microsoft Security SSPI. Я нашел этот образец с быстрым поиском.

SPNEGO - это вариант Microsoft Kerberos , который также будет взаимодействовать с продуктами IBM и Oracle WebLogic.

Если вы хотите использовать единый знак с использованием международного стандарта, который обеспечивает более широкую совместимость, чем Kerberos, вам следует использовать SAML . См. Active Directory Fedration для обсуждения SAML от Microsoft. Однако SAML намного сложнее реализовать и настроить.