这是something similar to this question on general SSO best-practices。处理已禁用或无理由无法访问的中央身份提供商的最佳方法是什么。如果您的网站允许用户使用其集中存储的凭据登录,并且中央服务无法正常工作或无法访问,那么:
允许用户在本地站点上重新输入他们的凭据,以便他们可以使用Web应用程序(或内容管理系统或其他)的本机登录工具
允许用户请求他们可以在Web应用程序本身上使用的另一个辅助凭证集(即,IDP关闭时可以使用的单独密码)[注意:显然这会破坏“单个凭据”目标只是抛弃所有的想法]。
允许用户使用相同凭据的几种维护者中的任何一种进行登录(通过向多个提供者提供多个链接,然后尝试其中的每个提供者,直到其中一个实际连接并正常工作)
由于可能明显的原因,上述解决方案中没有一个看起来很有吸引力,所以当您使用最佳替代方法回答时,请随意将它们放在“最差实践”列表中。
答案 0 :(得分:1)
我认为最好的方法是使用分散式 SSO,就像在Open ID中实现的那样。如果每个帐户都有许多提供程序,那么如果一个提供程序出现故障,您可以故障转移到另一个提供程序。
另一方面,如果需要集中式SSO。我能想到的唯一一件事就是让中央机构为每个用户生成一个加密证书。如果服务具有证书吊销列表的新副本和中央机构的公钥的缓存副本,则即使中央权限不可用,它也可以验证证书。不幸的是,这种方法可能会遇到可用性问题,因为用户需要同时保留他们的证书副本,并在您要求时知道您正在谈论的内容。