Вы действительно можете использовать Shibboleth (или, возможно, OpenSSO ). Это может быть довольно сложным и должно быть развернуто для всех веб-сайтов ( Поставщики услуг ), которые подпадают под действие этого единого входа. Он специально разработан для SSO-аутентификации и авторизации, которые не обязательно принадлежат одному сайту. Если ваши клиенты хотят использовать единый вход в среде, которая не слишком тесно связана, им потребуется такая технология. (Обратите внимание, что самая сложная часть реализации Shibboleth заключается не столько в установке программного обеспечения SP или IdP, сколько в установлении политик вокруг выпуска и авторизации атрибутов: больше об администрировании и политике, чем о технической проблеме).
Если клиентские машины, с которых собираются подключаться ваши клиенты, также находятся под их контролем (например, если они все настольные компьютеры Windows, которые может настраивать компания), вы можете посмотреть на SPNEGO . Это можно сделать для работы с клиентами Windows / Linux / OSX с использованием IE / Firefox (по крайней мере), но вам необходимо настроить клиенты так, чтобы они указывали на сервер Active Directory (как Kerberos KDC). Это может сбивать с толку, если пользователям приходится делать это на своем компьютере.
Хотя решение SPNEGO может быть проще, если вы можете контролировать конфигурацию клиентских компьютеров, решение Shibboleth / OpenSSO будет более гибким в этом отношении (и IdP Shibboleth может использовать SPNEGO в качестве механизма аутентификации, если вам это нужно все).