我目前正在尝试扩展我们的SSO解决方案。我公司使用在Tomcat上运行的JOSSO服务器为用户启用单点登录。现在我想使用用户的Windows凭据自动登录到JOSSO服务器。我研究了各种手段,即。 Kerberos,Spnego和Windows集成身份验证,但我不知道它们如何协同工作。
有人能告诉我我需要哪些物理组件以及它们如何粗略地相互沟通?
答案 0 :(得分:0)
物理组件及其协同工作应在此处可见:
http://www.josso.org/confluence/display/JOSSO1/Architecture+Overview
由于Kerberos与Windows中的NTLM混合
https://en.wikipedia.org/wiki/NT_LAN_Manager#Availability_and_use_of_NTLM
Microsoft已将NTLM哈希添加到其实现中 用于提高互操作性的Kerberos协议
从使用中可能并不明显,实际的SSO技术在下面运行。
您应该对以下页面感到满意,例如:
测试Windows身份验证登录到Windows工作站 使用以前的Active Directory域关联 创建帐户(即user1)。打开Internet Explorer实例和 访问受JOSSO保护的资源URL。您应该被授予访问权限 受保护的资源透明地没有任何提示用户名 和密码。
通常,您将在将要托管的每个容器中安装代理 SSO合作伙伴申请。例如,如果您有应用程序 部署在Tomcat和JBoss上,您必须安装代理 每个容器。代理商是服务提供商的一部分(合作伙伴 应用程序)运行时环境。
使用此配置,您可以设置:网关登录URL,其中 单点登录代理将重定向受保护资源上的用户 访问请求,以便他可以进行身份验证。网关注销URL, 单点登录代理将在注销时重定向用户的位置 请求。用于调用的具体服务定位器 单点登录网关的服务。单点登录合作伙伴 应用程序此配置文件仅定义一个伙伴 与/ partnerapp Web上下文关联的应用程序。这意味着 与/ partnerapp Web上下文关联的Web应用程序 将被置于单点登录之后。您可以定义其他合作伙伴 应用