在JOSSO服务器上使用Windows凭据的SSO

时间:2014-03-05 09:50:06

标签: tomcat single-sign-on kerberos spnego josso

我目前正在尝试扩展我们的SSO解决方案。我公司使用在Tomcat上运行的JOSSO服务器为用户启用单点登录。现在我想使用用户的Windows凭据自动登录到JOSSO服务器。我研究了各种手段,即。 Kerberos,Spnego和Windows集成身份验证,但我不知道它们如何协同工作。

有人能告诉我我需要哪些物理组件以及它们如何粗略地相互沟通?

1 个答案:

答案 0 :(得分:0)

物理组件及其协同工作应在此处可见:

http://www.josso.org/confluence/display/JOSSO1/Architecture+Overview

enter image description here

由于Kerberos与Windows中的NTLM混合

https://en.wikipedia.org/wiki/NT_LAN_Manager#Availability_and_use_of_NTLM

  

Microsoft已将NTLM哈希添加到其实现中   用于提高互操作性的Kerberos协议

从使用中可能并不明显,实际的SSO技术在下面运行。

您应该对以下页面感到满意,例如:

  1. http://www.josso.org/confluence/display/JOSSO1/Windows+Authentication+Setup
  2.   

    测试Windows身份验证登录到Windows工作站   使用以前的Active Directory域关联   创建帐户(即user1)。打开Internet Explorer实例和   访问受JOSSO保护的资源URL。您应该被授予访问权限   受保护的资源透明地没有任何提示用户名   和密码。

    1. http://www.josso.org/confluence/display/JOSSO1/Setup+JOSSO+Agent+%28SP%29
    2.   

      通常,您将在将要托管的每个容器中安装代理   SSO合作伙伴申请。例如,如果您有应用程序   部署在Tomcat和JBoss上,您必须安装代理   每个容器。代理商是服务提供商的一部分(合作伙伴   应用程序)运行时环境。

      1. e.g。 (取决于从上一页选择的网络容器)http://www.josso.org/confluence/display/JOSSO1/Setup+JOSSO+Agent+-+Tomcat+6.0
      2.   

        使用此配置,您可以设置:网关登录URL,其中   单点登录代理将重定向受保护资源上的用户   访问请求,以便他可以进行身份​​验证。网关注销URL,   单点登录代理将在注销时重定向用户的位置   请求。用于调用的具体服务定位器   单点登录网关的服务。单点登录合作伙伴   应用程序此配置文件仅定义一个伙伴   与/ partnerapp Web上下文关联的应用程序。这意味着   与/ partnerapp Web上下文关联的Web应用程序   将被置于单点登录之后。您可以定义其他合作伙伴   应用