Стратегия единого входа с устаревшими приложениями

Question

Мне интересно, какие стратегии люди используют для сокращения входа в унаследованные приложения и насколько эффективно они их нашли?

У нас есть интрасеть на основе ASP.Net, и мы владеем множеством устаревших приложений, но не всеми. У нас также есть BizTalk, и мы тоже рассматриваем возможность его использования в SSO.

Answer 1

Несколько хранилищ удостоверений для одного приложения? Может быть, это не единый знак решения, но вы пытались найти что-то более целевое решение, такое как MS Identity Lifecycle Manager? Это упростит синхронизацию идентификаторов между приложениями, а также с возможностью подключения, а это означает, что вы можете подключить свой собственный код для синхронизации между различными системами. Таким образом, если вы измените идентификационную информацию (то есть регистрационную информацию) на портале ILM, вы можете распространить ее на разные системы. То же самое для предоставления и отмены идентификации. Одиночная точка входа.
Я предположил, что вы можете использовать biztalk и для подобных вещей.

Что касается действительно единого решения для входа, когда вы только что вошли в систему, и вам не нужно снова входить в различные приложения. Я еще не нашел его.

Я предполагаю, что если в ваших старых приложениях есть подключаемый модуль провайдера идентификации, это выполнимо, то есть вы можете настроить систему входа в систему, чтобы подключиться к единому источнику истины для идентификации, что бы это ни было возможно.

Answer 2

Хороший компромисс между усилием / переделкой и удобством единого входа заключается в том, чтобы продолжать поддерживать список пользователей, привилегий, ролей и т. Д. В унаследованном приложении. Внесите изменения, необходимые для автоматического входа пользователя в приложение на основе его учетной записи (обычно это учетная запись Windows или сети).

В настоящее время у меня запущено несколько приложений, использующих этот метод входа, и это делает их более интегрированными, даже если это не так.

Другое преимущество, которое мы обнаружили, заключается в том, что он не дает людям делиться паролями с устаревшими приложениями. У них гораздо меньше шансов выдать пароль администратора, который также дает другим пользователям доступ к их электронной почте или платежной ведомости!

Answer 3

Помимо замечаний Джимми об использовании ILM, эта конкретная система допускает интеграцию со службой AD PCNS (Служба уведомления о смене пароля), которую можно использовать с ILM (ILM "видит" событие смены пароля и может опубликовать его другие потребляющие приложения / сервисы), по крайней мере, для обеспечения того, чтобы при изменении пароля пользователя в одной системе он отражался в других.

Answer 4

Мы сделали две вещи с устаревшими аккаунтами. (устаревшие веб-приложения)

Сначала мы сопоставили устаревшие учетные записи с их учетными записями входа в систему (работающими в Windows Active Directory).

Затем поверх поверх устаревших приложений (через веб-интерфейс) был применен фасадный экран входа в систему, который запросил бы вход в AD, который затем изменил бы сопоставление с учетной записью входа устаревших приложений и назначил соответствующие права пользователю, используя устаревшую модель безопасности систем. Пользователь получил токен для сеанса, который оставлял двери для них открытыми.

Это дало нам преимущество в том, что не нужно было модифицировать устаревшие приложения (например, то, что произошло бы, если бы приложение х имело только цифры для идентификатора, а пользователь использует вход в систему Windows (буквенно-цифровой), а также достигло единого входа в систему psuedo из точка зрения клиента.

Другой вариант, который имел смысл, был на новом экране входа в систему, он проверял бы несколько репозиториев безопасности, поэтому даже если пользователь не решил использовать свой вход в Windows, он мог бы войти в систему с прежним именем учетной записи. Очевидно, что это имеет некоторые побочные эффекты, но также может помочь облегчить переходную боль, и конечные пользователи иногда чувствуют перемещение между системами.

Существуют также такие программы, как Citrix XenApp Single Signon , которые используют совершенно другой подход к проблеме.