人们在银行/金融服务项目中使用中央认证服务(CAS)吗?它是一个可靠的生产用框架。
更新: -
用户详细信息存储在Active Directory中,但与Windows登录无关。
我们有大约5个不同的相关网络应用程序(单独的战争),可能有普通用户。我们计划实现一个常见的Web应用程序,它使用spring安全性来处理登录机制。此应用程序将Spring安全上下文传递给所有其他也使用spring安全性的Web应用程序。
除此之外,我们还使用2因素身份验证。
在进行一些搜索之后,CAS似乎有助于实现SSO(以及Spring Security),但我只是想确保它是否可以用于金融服务项目生产系统?
答案 0 :(得分:2)
我在德国的一家大公司(不是我目前在我的个人资料中列出的那家公司)工作,有30万名员工。我们将CAS用于许多应用程序,但我们的主要策略是SAML。 SAML的主要原因是前端频道" - 您可以通过浏览器可靠地传递断言。
这在大型企业中具有巨大的优势,因为网络的某些部分通常都是防火墙,所以"返回渠道"解决方案(如CAS)并不总是有效。
使用SAML,您可以使用Salesforce这样的完全外部服务与您公司的SAML身份提供商一起使用。几乎开箱即用。
请注意,我对CAS的生产知识约为4年。关于"后退频道"我可能错了。对于CAS,请重新检查。
好的,与您的问题更新相关的进一步见解很少。
我写这一切 - 我甚至不是安全专业人士,我是一名设计这些应用程序以满足(在其他方面)其安全要求的架构师。
答案 1 :(得分:2)
请注意,有两种主要类型的单点登录(SSO)。
我称之为"企业SSO"它使用用户登录其工作站时使用的Mircosoft Active Directoy凭据,以使用IE等浏览器的内置SSO功能访问其他资源,如网站。使用的基础协议是Kerberos或NTLMv2(也称为SPNEGO到NEGOtiate Kerberos或NTLMv2)。这使它成为真正的单身"登录是因为用户登录工作站时只输入一次密码。没有多少解决方案可以执行此类SSO。显然,打开IWA的IIS就是其中之一。
然后还有许多其他网站解决方案实际上将客户端重定向到另一个中心网站,该网站对客户端进行身份验证,然后使用某种令牌将它们重定向回原始网站。这种类型的SSO通常在Internet上使用(例如,当您使用Google凭据登录到stackexchange时),但在企业环境中也并非完全不常见。它在学术机构中很受欢迎,学生可以使用他们可以找到的任何计算机,并且首先使用域名凭证登录。
因此,在像银行/金融机构这样的企业环境中,我的观点是"企业SSO"是最直接,最优越的解决方案。使用非Enterprise SSO解决方案,身份验证步骤通常需要密码,因此它不是真正的SSO。您必须登录工作站,然后登录到SSO中心网站,然后您才能访问参与该特定SSO解决方案的任何站点。它需要运行额外的服务。
但不要谷歌和#34;企业SSO"因为一切都以" Enterprise"销售。使用" Kerberos"," NTLMv2"," Active Directory"等搜索词。与" SSO"和您的服务器编程环境。
答案 2 :(得分:1)
您通常在大型组织内使用SSO。它允许组织成员使用相同的凭据登录任何内部应用程序,并在一个位置进行密码管理。但在这个用例中,组织可以完全控制CAS服务器并对其充满信心。
答案 3 :(得分:1)
我是CAS的主席和云中CAS的创始人(https://www.casinthecloud.com)。
CAS是一个Web SSO,它支持Kerberos和SPNEGO。所以是的,它也可以是企业SSO。
CAS准备就绪:对于一家大公司,我将它用于数百万用户和数百个网站。
我不确定完全同意“后台频道”/“前台频道”的内容。 SAML是联合的标准,因此如果您有两个主要组织拥有自己的SAML IdP,您将能够联合身份。对于其他用例,我更喜欢CAS,它更简单,并且拥有一个拥有大量CAS客户的大型社区。