我致力于一个项目,旨在将单点登录(SSO)后退到现有的基于Weblogic / T3的企业应用程序。理想情况下,我可以利用我们的Windows环境使用JAAS LoginContext和GSSAPI执行此身份验证。遗憾的是,没有记录Weblogic提供的InitialContext(或者至少我还没有找到它),并且它似乎没有被其他任何人探索过。
一个想法是对Kerberos领域(Microsoft Active Directory)进行身份验证,选择服务票证并通过上下文环境传递它。然后,服务器端需要自定义IdentityAsserter来提取和验证服务票证。
如何创建和配置此类IdentityAsserter?如何将在边界上进行身份验证的主体映射到应用程序主体?
我们已经考虑将应用程序转换为使用http / https而不是t3 / t3s,但没有计划遵循该路径,预计重新设计和相关测试的繁重任务有点超出当前项目范围。因此,SPNEGO,servlet-filters,NegotiateIdentityAsserter和相关技术将无法为我们提供太多帮助。