SSO和多因素身份验证

时间:2011-07-11 04:40:31

标签: authentication single-sign-on siteminder two-factor-authentication

我对如何使用SiteMinder和OpenSSO管理以下方案感兴趣

给定两个Web应用程序,并强制要求在它们之间使用SSO。 App A是一个简单的应用程序,只需要用户名/密码组合。应用B需要多因素身份验证。

我们应该如何管理两个应用程序中的不同身份验证级别?有没有办法在SiteMinder这样的工具中表达这一点,因此如果用户登录到App A,可以为用户分配“基本身份验证级别”,但如果他们遇到App B,他们将受到第二个因素的挑战?

我的直觉是需要在SiteMinder级别管理第二个因素,因为App B位于它后面,从它的角度来看,身份验证是App Server / SSO管理员强制要求的二元决策:即应用程序是“被告知”用户是否经过身份验证....应用B无法处理用户拥有的身份验证级别。

SiteMinder是否管理了不同级别身份验证的想法,是否可以用SAML表示?

我原以为这是一种常见的模式,但我似乎无法找到有关配置,最佳实践等的任何文档。

提前致谢,

Fintan

2 个答案:

答案 0 :(得分:4)

这是SiteMinder绝对可以做到的。有时它被称为“递升认证” - 这基本上意味着在需要时通过更强的认证形式对用户进行认证。

它应该由SiteMinder的策略引擎集中控制。其他Web访问管理产品也有类似的方法。

当您谈论联盟到域外的应用程序时,SAML可能会发挥作用。在SAML中,您可以指定一个AuthnContext,向其他方指示需要/已执行的身份验证级别。

答案 1 :(得分:2)

SiteMinder中满足此要求的功能似乎是分配给每个领域的保护级别。这可用于模拟额外级别的授权,这取决于您最初验证的方式/位置。至少这是我设计我们的解决方案的方式。