AD Single Sign On (SSO), браузеры и сети - PullRequest
Новая
       67

AD Single Sign On (SSO), браузеры и сети

1 голос
/ 10 апреля 2011

Я пытаюсь определить, является ли SSO тем, что я хочу использовать в моем сценарии. Все наши пользователи находятся в AD. У меня есть несколько веб-сервисов, которые аутентифицируются через AD (в настоящее время они запрашивают у пользователя логин при посещении сайтов). Ключевые моменты:

  • Все пользователи имеют ноутбуки с Windows, присоединенные к AD.
  • Иногда они получают доступ к этим веб-сайтам в локальной сети (сервер AD доступен), иногда через Интернет (сервер AD недоступен).
  • Некоторые пользователи могут захотеть получить доступ к этим веб-сайтам через компьютер без рекламы (например, планшет, телефон, домашний компьютер)
  • Пользователи используют разные браузеры.
  • Сайты в основном работают через Apache на Linux-серверах

Работает ли SSO на основе AD:

  • если клиентский компьютер не может напрямую связаться с сервером AD? например ноутбук вошел в систему с использованием кэшированных учетных данных?
  • если пользователь использует браузер, отличный от IE?

Возможно ли иметь резервные механизмы аутентификации на месте? например если SSO невозможен, вернитесь к http auth или cookie auth?

Приветствия

Victor

Ответы [ 2 ]

1 голос
/ 13 мая 2011

Вы можете получить больше гибкости с помощью ADFS, которая является компонентом Windows, который позволяет использовать проверку подлинности на основе утверждений.

Внутриэкстранетные sceanrios проще, история взаимодействия довольно хорошая. (Поскольку ваши веб-сайты не принадлежат Microsoft).

Тонны документации в TechNet

1 голос
/ 13 апреля 2011

Да, если используются кэшированные учетные данные, когда браузер запрашивает билет службы Kerberos, кэшированные учетные данные используются Windows для получения TGT для пользователя, а затем запрашивается билет службы.Это прозрачно для пользователя, поэтому они получают такой же опыт, как если бы они были в офисе, подключены к локальной сети и не использовали кэшированные учетные данные.

Некоторые другие браузеры поддерживают протокол согласования, а не только IE.Я знаю, что Firefox делает, и я думаю, что Safari тоже.

...