为什么像Ping Federate这样的SSO提供商在9031这样不为人知的端口上运行。这是否增强了安全性?它似乎只会增加具有严格防火墙规则的组织中的连接问题。
答案 0 :(得分:3)
这只是一个默认的半随机端口,因此它不会与同一台机器上的现有服务发生冲突,而且是一个高端口,因此服务器可以在非特权用户帐户下运行。
对于生产用途,通常会将其更改为443和/或在SSO服务器前面(在端口443上)运行反向代理/负载均衡器。
答案 1 :(得分:0)
通常,安全性在网络的边界进行管理。对于我参与的部署,端口443主要用于外围的SSO(例如PingFederate)。对于内部网络,我见过两种模型,主要是(i)将PingFederate中的HTTPS端口更改为443,或者(ii)利用443到9031的负载均衡器端口转发。我通常会看到用于Windows部署和项目的项目(i) (ii)对于避免保留端口的Linux部署。对于任何一种模式,确实没有真正的安全性增强。
Hans指出,PingFederate默认使用9031,因此在首次部署该技术时可避免与服务器上的其他进程发生冲突。随着SSO功能在环境中成熟,可以管理适当的服务端口。默认端口避免了首次安装时出现的问题,这对新技术人员来说可能会令人沮丧。