我现在已经摸不着头脑了。经历了大量的文件,但一切似乎都很混乱。请原谅,如果它似乎是一个重复的问题,但请相信我,我找到的内容越多,就会让我感到困惑。
以下是我的项目配置以及我需要实现的目标:
该项目是一个基于Web的应用程序,使用Spring框架和Java 8开发,该框架托管在S3(Linux服务器)上。使用的HTTP服务器是Apache。 JBoss用作应用程序服务器,使用的确切版本是wildfly-8.2.0.Final。
目前,用户输入他的凭据,使用LDAP对其进行验证,并且允许进入。现在要求当用户在他的Intranet环境中使用他的AD凭据登录到机器时,他试图打开应用程序,他应该直接登录,而不是再次提示输入凭据。如果他在他的Intranet网络之外,则应遵循现有的登录方法。
在研究时我发现以下我认为可能有用但无法得出结论。
Kerberos和Shibolleth:我通过以下两个参考资料,这些参考资料有点符合我的要求,但不太确定我是否正确看待正确的事情。 的 http://richardjohnson798.blogspot.in/2011/10/single-sign-on.html http://gfivo.ncl.ac.uk/documents/UsingKerberosticketsfortrueSingleSignOn.pdf
我的困惑围绕着下面的事情。 Shibolleth是正确的选择。如果是的话,Shibboleth的确切角色是什么? 需要在linux服务器上设置哪些内容(例如Kerberos实现),以及客户端AD环境中需要进行哪些更改? Wildfly服务器上是否可以实现? (因为所有引用都使用Tomcat实现了)。 我应该关注哪些安全方面。
非常感谢帮助。谢谢。
答案 0 :(得分:2)
由于您使用的是S3,我假设您使用的是AWS。
转到IAM并将Active Directory添加为SAML提供程序 https://aws.amazon.com/blogs/mobile/announcing-saml-support-for-amazon-cognito/
然后通过您在S3上托管的前端代码中的JavaScript SDK使用AWS Cognito联合身份池。 http://docs.aws.amazon.com/cognito/latest/developerguide/using-amazon-cognito-user-identity-pools-javascript-examples.html