SSO - как автоматически войти на внешний сайт из интрасети (SAML 2.0)? - PullRequest
Новая
       43

SSO - как автоматически войти на внешний сайт из интрасети (SAML 2.0)?

3 голосов
/ 05 сентября 2011

Клиент использовал наше веб-приложение PHP в течение многих лет, но теперь хочет использовать решение единого входа (SSO).

У них есть корпоративная интрасеть, в которую они входят, и они хотят использоватьэтот же логин в качестве автоматической аутентификации для нашего веб-приложения (которое находится во внешнем домене).

Они говорят о SAML 2.0, о котором я никогда не слышал до сих пор.

Я искалИнтернет, но с трудом понимают все различные концепции (провайдер идентификации и т. д.).Кажется, что все сайты по этой теме требуют базовых знаний, которых у меня нет.Я не понимаю, как и где должны храниться данные аутентификации ... (кажется, в post-data из cookie-файла, но как вы получаете xml аутентификации где-нибудь в первый раз, когда начинаете это делать?!)

Может ли кто-нибудь указать мне некоторые направления для этой конкретной ситуации?

1 Ответ

4 голосов
/ 06 сентября 2011

Вот обзорное видео очень высокого уровня по SAML, которое даст вам общую картину: http://youtu.be/gUmMcecHN9s

Если вы хотите получить больше технической информации, я бы предложил официальное резюме: http://www.oasis -open.org / committees / download.php / 13525 / sstc-saml-exec-Overview-2.0-cd-01-2col.pdf

Основой этого является цифровой форматподписанный блоб данных XML передается от IdP (провайдера идентификации) к провайдеру SP (провайдеру услуг), чтобы сообщить, что пользователь прошел аутентификацию и ему следует доверять.Между IdP и SP требуется внеполосная начальная настройка, чтобы доверять друг другу и договариваться о том, какая информация будет передаваться (идентификаторы пользователей, атрибуты и т. Д.).

Для обеспечения работы SAML 2.0 существует многоварианты, в том числе коммерческие (например, из Ping Identity - http://www.pingidentity.com/), которые хороши и экономят ваши усилия и предоставляют коммерческую поддержку. Есть также другие варианты, такие как создание собственных или использование библиотек с открытым исходным кодом - при условии, что у вас будет больше временина ваших руках, и это разовая проблема.

...