我想知道人们使用什么策略来减少遗留应用程序的登录以及他们找到它们的效果如何?
我们有一个基于ASP.Net的内部网并拥有许多遗留应用程序,但不是全部。我们也有BizTalk,并且正在考虑使用它的SSO引擎。
答案 0 :(得分:2)
努力/返工与单点登录的便利性之间的良好折衷是继续维护旧应用程序中的用户,权限,角色等列表。根据用户帐户(通常是他们的Windows或网络帐户)进行必要的更改,以自动将用户登录到您的应用程序中。
我目前正在运行一些使用这种登录方法的应用程序,这使得它们看起来更加集成,即使它们不是。
我们发现的另一个优势是它阻止人们与传统应用程序共享密码。他们发布管理员密码的可能性要小得多,这也会让其他人访问他们的电子邮件或工资单详情!
答案 1 :(得分:2)
每个应用程序多个身份存储?
可能不是解决方案的单一标志,但您是否尝试过寻找像MS Identity Lifecycle Manager这样更具针对性的解决方案?它将简化应用程序之间的身份同步,并且它也是可插拔的,这意味着您可以连接自己的代码以在不同系统之间进行同步。因此,如果您在ILM门户中更改身份信息(即登录信息),则可以将这些信息传播到不同的系统。配置和取消配置身份也是一样的。单点入口。
我想你也可以使用biztalk来做类似的事情。
对于真正的单点登录解决方案,您只需登录一次,而无需再次登录到不同的应用程序。我还没找到一个。
我认为如果您的遗留应用程序具有可插入的身份提供程序模块,那么它是可行的,这意味着您可以自定义登录系统以连接到您的单一身份来源,无论如何。
答案 2 :(得分:0)
我们使用旧帐户做了两件事。 (遗留的基于Web的应用程序)
我们首先将旧帐户映射到他们的系统登录帐户(在Windows Active Directory中运行)。
然后将外观登录屏幕应用于遗留应用程序(基于Web)的顶部,这将请求AD登录,然后该登录将反向映射到旧应用程序登录帐户并为用户分配适当的权限,使用遗留系统安全模型。用户收到会话的令牌,为他们打开门。
这给了我们不必改造遗留应用程序的好处(例如,app x只会有ID的数字,用户使用Windows登录(字母数字),并且还可以实现psuedo单点登录)客户的观点。
另一个有意义的选项是在新的登录屏幕上,它会检查多个安全存储库,因此即使用户没有决定使用他们的Windows登录,他们仍然可以使用旧版帐户名登录。显然,这确实有一些副作用,但也可以帮助缓解最终用户有时感觉在系统之间移动的过渡痛苦。
还有像Citrix XenApp Single Signon这样的程序采用了完全不同的方法解决问题。
答案 3 :(得分:0)
除了Jimmy关于使用ILM的观点之外,这个特定系统还允许与可以与ILM一起使用的AD PCNS(密码更改通知服务)服务集成(ILM“看到”密码更改事件并可以将其发布到其他消费应用程序/服务)至少要确保当用户的密码在一个系统中发生变化时,它会反映到其他系统中。