Рекомендации SSO: каковы решения для недостижимого IDP? - PullRequest
Новая
       27

Рекомендации SSO: каковы решения для недостижимого IDP?

2 голосов
/ 12 января 2009

Вот что-то похожее на этот вопрос по общим рекомендациям SSO . Каков наилучший подход для работы с нетрудоспособным или по какой-либо причине недоступной центральной службой идентификации. Если ваш веб-сайт позволяет пользователям входить в систему со своими централизованно сохраненными учетными данными, а центральная служба не работает или недоступна, выполните следующие действия:

  • Разрешить пользователям повторно вводить свои учетные данные на локальном сайте, чтобы они могли использовать встроенную функцию входа в систему веб-приложения (или системы управления контентом или чего-либо еще)

  • Разрешить пользователям запрашивать другой дополнительный набор учетных данных, которые они могут использовать в самом веб-приложении (т. Е. Отдельный пароль, который они могут использовать, когда IDP не работает) [ПРИМЕЧАНИЕ: очевидно, что это побеждает «единые учетные данные» цель - просто выбросить все идеи].

  • Разрешить пользователям входить в систему с использованием любого из нескольких различных сопровождающих с одинаковыми учетными данными (предоставляя им несколько ссылок на несколько поставщиков, а затем пробуя каждого из них, пока один из них фактически не подключится и не заработает)

По вероятным очевидным причинам ни одно из этих решений , представленных выше, не кажется привлекательным, поэтому не стесняйтесь вносить их в список "худших практик", пока вы отвечаете с лучшим альтернативным подходом.

1 Ответ

1 голос
/ 13 января 2009

Я думаю, что лучшим способом было бы иметь децентрализованный SSO, как это реализовано в Open ID. Если в каждой учетной записи может быть много провайдеров, то при сбое одного провайдера вы можете переключиться на другого.

С другой стороны, если требуется централизованный SSO. Единственное, о чем я могу подумать, - это заставить центральный орган генерировать криптографический сертификат для каждого пользователя. Если у службы есть свежая копия списка отзыва сертификатов и кэшированная копия открытого ключа центрального органа, она может проверять сертификаты, даже если центральный орган недоступен. К сожалению, этот метод, вероятно, пострадает из-за проблем с юзабилити, поскольку пользователям нужно будет держать копию своего сертификата под рукой и знать, о чем вы говорите, когда запрашиваете его.

...