我在AIX服务器上有一个WebSphere, 和Windows XP上的一个简单的Java客户端(通过http连接到服务器)。 我想将SSL用于客户端自动化。主要是,我有一个智能卡读卡器。
唯一的问题是 - 智能卡已被用于访问Windows,我们希望在客户端应用程序启动期间为客户端重新输入PIN节省麻烦。
我开始阅读很多关于SSO的内容 - 我确信这可以解决我的问题。这让我在他们的红皮书中阅读了关于WebSphere对SPENGO的支持。问题是它涉及到Active目录人员的大量支持 - 他们并不热衷于帮助 - 而且我担心他们的参与可能会减慢合并的速度。
所以现在我正在研究OpenSSO,WAFFLE,JOSSO和其他可能对我有帮助的框架。
但是等等 - 这一切似乎都是一次重大的过度规划。我想要的只是向我的客户端保存第二个提示到智能卡。 我真正想要的是一种方法 - 以下之一:
- Windows XP及更高版本的设置,使我能够检索智能卡内的证书(以及对加密/解密功能的一些访问以验证证书)。
- 对Windows的一些访问权限允许我使用这些选项
-Perheps,某种java pkcs#11方法,可以让我访问与Windows相同的连接。
- 这样的能力供应商具体吗?
这甚至可能吗?维基百科单点登录条目http://en.wikipedia.org/wiki/Single_sign-on说明了智能卡的SSO - 但到目前为止,我还没有找到任何方法来实现它。我所知道的是,如果我尝试将它与普通的pkcs#11代码一起使用,我的智能卡会再次提示。
总结: 1.是否有windows / verndor specific / java使我能够使用智能卡进行SSO。 2.如果没有或不推荐,我应该使用哪种其他SSO解决方案,因为我不想依赖Active目录的人? 3.在最坏的情况下,只能使用Kerberose和ActiveDirectory有效地实现SSO - 在ActiveDirectory端,哪些实现可能要求不高?
谢谢。