我们处于复杂的身份验证环境中,需要支持对我们正在开发的应用程序中的许多不同来源进行身份验证。由于我们不希望在整个地方复制身份验证代码,因此我们正在考虑使用单个OpenID提供程序包装各种身份验证源,然后让应用程序全部依赖于该服务。
我们必须允许进行身份验证的来源包括Active Directory用户名/密码,Kerberos,通用LDAP,外部OpenID提供程序等。
例如,在Kerberos情况下,当用户点击OpenID提供程序的身份验证页面时,如果他可以使用Kerberos进行身份验证,并且已经向请求的应用程序授予了权限,则用户将被透明地进行身份验证好像输入了密码并传回给请求的应用程序。
所以,问题是,我们是否可以创建一个OpenID提供程序来处理所有这些不同方法的身份验证?提供商是否必须实施 以特定方式对用户进行身份验证?
答案 0 :(得分:1)
OpenID 2.0规范未指定如何在OpenID提供商处对用户进行身份验证,因为它是特定于供应商的。所以我的答案是肯定的,您可以拥有一个OpenID提供程序,通过所有这些方法处理身份验证,但您必须弄清楚如何,例如如何向OpenID提供程序提供Kerberos票据由您决定。