跨多个网站(不同域)的SSO选项

时间:2012-11-26 11:44:21

标签: single-sign-on saml

我正在研究在一系列网站上实施单点登录的选项(我指的是针对单个共享身份存储进行身份验证的一组用户凭据)。

所有网站名义上属于同一个组织(因此我们可以假设它们之间存在信任关系),但是托管在不同的域上,并且跨越不同的技术 - 包括。 .NET,Java和PHP。

我们正在将所有用户配置文件整合到一个后端CRM系统中,并且需要某种方式为所有当前(和将来)的Web属性提供对此的强大访问。

我们正在运行一个新生的SAML提供程序,默认选项是在所有(当前)不受支持的属性上扩展对此的访问。这是最好的选择吗?所有在线参考SSO产品(CAS,CoSign等)似乎都很老(2004 +)。

2 个答案:

答案 0 :(得分:2)

查看支持.NET的Microsoft ADFS v2.0

有商业产品可以做到这一点,例如PingIdentity和开源的,例如OpenAM。

这些产品都支持SAML。

对于Java,将OpenAM放在其前面或使用OpenSSO / OpenAM fedlet。

对于PHP,请使用simpleSAMLphp。

用于获取当前引用的关键字将是“SAML联合”。

参考SAML-based products and services

答案 1 :(得分:1)

使用SAML协议非常有意义。如果/当您的公司决定朝这个方向发展时,它甚至可以允许您与基于云的服务联合。

SAML 要求使用具有公共DNS根的完全限定域名来引用目标服务器(也称为“服务提供商”或MS中的“依赖方”)。它也与技术无关,因此服务提供商运行的HTTP堆栈无关紧要。

我不确定您的后端CRM系统可以使用哪些接口,但LDAP或SQL连接通常用于获取身份声明信息并构建SAML响应。

您可能想要研究的一些Identity Provider产品包括Microsoft ADFS,PortalGuard(我为之工作)和Ping。