คำถามติดแท็ก single-sign-on

Single Sign On เป็นเทคโนโลยีที่ช่วยให้การเข้าสู่ระบบเพียงครั้งเดียวสามารถใช้กับแอปพลิเคชันและสภาพแวดล้อมต่างๆได้อย่างโปร่งใส

4
SSO กับ Active Directory ทำงานอย่างไรโดยที่ผู้ใช้เข้าสู่ระบบของเว็บแอปอินทราเน็ตอย่างโปร่งใส
ฉันบอกว่าเป็นไปได้ที่จะสร้างเว็บแอปพลิเคชันที่ไม่ต้องการการเข้าสู่ระบบ ผู้ใช้เข้าสู่ระบบ Windows ซึ่งรับรองความถูกต้องผ่านการค้นหา Active Directory (LDAP) จากนั้นพวกเขาควรจะสามารถไปที่เว็บแอพของฉันและไม่เห็นข้อความแจ้งการเข้าสู่ระบบ ลูกค้าเหล่านี้อ้างถึงสิ่งนี้ว่าการลงชื่อเพียงครั้งเดียว (อาจไม่ถูกต้องและเป็นส่วนหนึ่งของความสับสนของฉัน) แต่จากสิ่งที่ฉันอ่าน Single Sign On จาก Tomcat docs คือ: Single Sign On Valve จะถูกใช้เมื่อคุณต้องการให้ผู้ใช้สามารถลงชื่อเข้าใช้แอปพลิเคชันเว็บใด ๆ ที่เชื่อมโยงกับโฮสต์เสมือนของคุณจากนั้นให้มีการระบุตัวตนของพวกเขาโดยเว็บแอปพลิเคชันอื่น ๆ ทั้งหมดบนโฮสต์เสมือนเดียวกัน ชัดเจนสำหรับฉันอย่างสมบูรณ์ ผู้ใช้จะต้องเข้าสู่ระบบครั้งเดียวและสามารถเข้าถึงเว็บแอพพลิเคชั่นทุกตัวบนอินสแตนซ์ของ Tomcat แต่สิ่งที่ฉันต้องทำก็คือให้พวกเขาเข้าสู่ระบบโดยไม่ต้องให้ข้อมูลประจำตัวใด ๆ กับเซิร์ฟเวอร์ Tomcat ของฉัน ดังนั้นในการทำงานนี้ฉันจึงจินตนาการ: ผู้ใช้ทำการร้องขอสำหรับบางหน้า เซิร์ฟเวอร์ไม่เห็นโทเค็นเซสชันแล้วขอให้ไคลเอนต์สำหรับข้อมูลประจำตัวบางอย่าง เบราว์เซอร์ไคลเอนต์โดยไม่มีการแทรกแซงจากผู้ใช้ให้ข้อมูลประจำตัวบางอย่างไปยังเซิร์ฟเวอร์ จากนั้นใช้ข้อมูลประจำตัวที่ได้รับจากเบราว์เซอร์ไคลเอนต์ซึ่งจะทำการค้นหาใน LDAP ฉันเคยเห็นตัวอย่างบางส่วนที่ใช้ใบรับรองฝั่งไคลเอ็นต์ ... โดยเฉพาะอย่างยิ่งระบบ DoD PKI ซึ่งเหมาะสมสำหรับฉันเพราะในกรณีเหล่านั้นคุณกำหนดค่า Tomcat เพื่อร้องขอใบรับรองฝั่งไคลเอ็นต์แต่เพิ่งเข้าสู่ระบบ windows …

6
Google Chrome: พิสูจน์ตัวตนผ่าน Windows
ฝ่ายไอทีกำลังพิจารณาที่จะอนุญาตให้ติดตั้งและปรับใช้เบราว์เซอร์ Google Chrome อัตโนมัติไปยังเดสก์ท็อปกว่า 100+ ข้อกำหนดอย่างใดอย่างหนึ่งคือสำหรับข้อมูลประจำตัวของโดเมนที่จะผ่าน พฤติกรรมที่ต้องการเหมือนกันกับ Internet Explorer มีปัญหาเกิดขึ้นเมื่อเรียกดูทรัพยากรอินทราเน็ต ไซต์อินทราเน็ตที่ต้องการการรับรองความถูกต้องของ Active Directory กำลังแสดงกล่องโต้ตอบ "จำเป็นต้องมีการรับรองความถูกต้อง" สำหรับแต่ละไซต์คุณต้องป้อนข้อมูลรับรองโดเมนของคุณ คำถาม : ปัจจุบัน Google Chrome หรือมีแผนรองรับการรับรองความถูกต้องของ Windows หรือไม่ ถ้าเป็นเช่นนั้นคุณจะกำหนดการตั้งค่าความปลอดภัยนี้ได้อย่างไร?

5
การพิสูจน์ตัวตนเซิร์ฟเวอร์ Linux กับ AD มีประโยชน์อย่างไร?
เราใช้ทั้งเซิร์ฟเวอร์ Windows และ Linux ที่ บริษัท พัฒนาซอฟต์แวร์ของเรา หนึ่งในจุดฝืดของการตั้งค่านี้คือเราไม่มีวิธีการลงชื่อเข้าระบบครั้งเดียว การเป็นร้านค้า Microsoft มากกว่า Linux ที่เราต้องการรับรองความถูกต้องกับโฆษณา ฉันอ่านบทความออนไลน์สองสามฉบับและเข้าใจว่าเป็นไปได้ ขณะนี้เรากำลังใช้บริการต่อไปนี้บน Linux ที่ต้องใช้การรับรองความถูกต้อง: - เซิร์ฟเวอร์ git (ผ่าน SSH) - Sendmail - Apache เว็บเซิร์ฟเวอร์ปัจจุบันใช้ไฟล์. htaccess - การแชร์ไฟล์ SAMBA สิ่งที่ฉันอยากรู้คือการตั้งค่าประเภทนี้เป็นประโยชน์อย่างไร มันใช้งานได้จริงหรือว่าเป็นข้อผิดพลาดได้ง่าย?

3
ใช้การตรวจสอบสิทธิ์ SAML ภายใน nginx
ฉันต้องการ จำกัด การเข้าถึงเนื้อหาสแตติกให้บริการโดยใช้ nginx โดยใช้ SAML 2.0 IdP ที่มีอยู่ (ใน Apache สิ่งนี้จะทำกับโมดูลเช่นmod_mellonหรือmod_auth_saml) วิธีที่ดีที่สุดในการใช้การตรวจสอบสิทธิ์ SAML สำหรับเนื้อหาคงที่ใน nginx คืออะไร? หากยังคงใช้ส่วนหัว X-Accelอยู่จะมีสคริปต์ตัวช่วยออกจากพร็อกซีจากการตรวจสอบสิทธิ์ SAML หรือไม่หรือฉันต้องเริ่มต้นจากศูนย์

7
Google Apps, AD และ SSO
เราเป็นร้านเล็ก ๆ ที่ใช้งาน Google Apps (Enterprise) สำหรับความต้องการทางอีเมลของเรา รักมัน ภายในเราใช้ Windows AD (2003) ไม่มีการร้องเรียนอย่างใดอย่างหนึ่ง ฉันต้องการได้รับวิธีการบางอย่างของ SSO ระหว่าง AD และ Google Apps เช่นนั้น AD เป็นที่เดียวที่คนของฉันต้องจัดการ (และเปลี่ยนรหัสผ่านเป็นระยะ)! ฉันเคยดู "tfm" ของ Google ในอดีต แต่ฉันเดาว่าฉันไม่เข้าใจเลย มีใครทำเช่นนี้? ถ้าเป็นเช่นนั้นคุณยินดีที่จะแบ่งปันอย่างไร สามารถทำได้โดยไม่ต้องใช้ความซับซ้อนและค่าใช้จ่ายจำนวนมากหรือไม่?

4
ฉันสามารถใช้ Office365 หรือ Azure AD เป็นข้อมูลหลักสำหรับ Active Directory ได้หรือไม่
เรามีธุรกิจขนาดเล็กและปัจจุบันไม่จำเป็นต้องมีโดเมนภายในสำนักงานของเรา เรามีเครือข่ายพื้นฐานและเซิร์ฟเวอร์เดียวที่ใช้ Windows Server 2008 R2 พร้อมด้วยไฟล์บางไฟล์และแอพของบุคคลที่สาม เราใช้ Office 365 และมีการสมัครสมาชิก Windows Azure ดูเหมือนว่าทั้งสองจะรักษา Active Directory ให้กับองค์กรของเราในการซิงค์ค่อนข้างดี (เช่นข้อมูลมีลักษณะเหมือนกันทั้งสองระบบ) แอปบุคคลที่สามทั้งหมดที่เราเรียกใช้บนเซิร์ฟเวอร์แอปของเรารองรับ LDAP ในฐานะผู้ให้บริการข้อมูลประจำตัว แต่เนื่องจากเราไม่ได้เรียกใช้โดเมนเราจึงต้องให้ผู้ใช้แต่ละคนสร้างชื่อล็อกอิน / รหัสผ่านใหม่สำหรับบริการเหล่านี้ ในอุดมคติแล้วเราต้องการให้เซิร์ฟเวอร์นี้ซิงค์จาก Azure / Office 365 และอนุญาตให้ผู้ใช้รับรองความถูกต้องโดยใช้ข้อมูลประจำตัว Office365 วรรณกรรมทั้งหมดที่ฉันได้พบพูดคุยเกี่ยวกับการซิงโครไนซ์ FROM จากสถานที่กับ Azure แต่เราต้องการซิงค์ FROM Azure / Office 365 กับเซิร์ฟเวอร์บนสถานที่ตั้งของเรา ฉันเดาว่าเซิร์ฟเวอร์ในสถานที่ของเรากลายเป็นผู้ให้บริการข้อมูลแบบติดต่อกับภายนอกสำหรับไดเรกทอรี Office 365 ของเรา ... เป็นไปได้หรือไม่หรือเราต้องการผู้ให้บริการ LDAP บุคคลที่สามที่สามารถรวมข้อมูลประจำตัวจาก …

3
Apache mod_auth_kerb และกลุ่มผู้ใช้ LDAP
ฉันกำลังพิจารณาปรับใช้mod_auth_kerbบนเว็บเซิร์ฟเวอร์ภายในของเราเพื่อเปิดใช้งาน SSO ปัญหาที่ชัดเจนอย่างหนึ่งที่ฉันเห็นคือมันเป็นวิธีการทั้งหมดหรือไม่ว่าผู้ใช้โดเมนของคุณสามารถเข้าถึงเว็บไซต์ได้หรือไม่ เป็นไปได้ไหมที่จะรวมmod_auth_kerbกับสิ่งที่ต้องการmod_authnz_ldapตรวจสอบการเป็นสมาชิกกลุ่มในกลุ่มใดกลุ่มหนึ่งใน LDAP? ฉันคาดเดาว่าKrbAuthoritativeตัวเลือกจะมีส่วนเกี่ยวข้องกับสิ่งนี้หรือไม่ นอกจากนี้ตามที่ฉันเข้าใจโมดูลจะตั้งชื่อผู้ใช้username@REALMหลังจากการรับรองความถูกต้อง แต่แน่นอนในไดเรกทอรีที่ผู้ใช้เก็บไว้เป็นชื่อผู้ใช้เท่านั้น นอกจากนี้บางเว็บไซต์ภายในที่เราเรียกใช้เช่น trac มีโปรไฟล์ผู้ใช้เชื่อมโยงกับชื่อผู้ใช้แต่ละคนแล้ว มีวิธีแก้ไขปัญหานี้หรือไม่โดยการถอดบิต realm ออกหลังจากการพิสูจน์ตัวตน

4
Apache Bad Request“ ขนาดของส่วนหัวคำขอเกินขีด จำกัด ของเซิร์ฟเวอร์” ด้วย Kerberos SSO
ฉันตั้งค่า SSO สำหรับผู้ใช้ Active Directory ผ่านเว็บไซต์ที่ทำงานบน Apache (Apache2 บน SLES 11.1) และเมื่อทดสอบกับ Firefox ทุกอย่างก็ใช้ได้ดี แต่เมื่อฉันพยายามเปิดเว็บไซต์ใน Internet Explorer 8 (Windows 7) สิ่งที่ฉันได้รับคือ "คำขอไม่ดี เบราว์เซอร์ของคุณส่งคำขอว่าเซิร์ฟเวอร์นี้ไม่เข้าใจ ขนาดของฟิลด์ส่วนหัวคำขอเกินขีด จำกัด เซิร์ฟเวอร์ การอนุญาต: เจรจา [สายยาวพิเศษ] " vhost.cfg ของฉันมีลักษณะเช่นนี้: <VirtualHost hostname:443> LimitRequestFieldSize 32760 LimitRequestLine 32760 LogLevel debug <Directory "/data/pwtool/sec-data/adbauth"> AuthName "Please login with your AD-credentials (Windows Account)" …

7
เซิร์ฟเวอร์ Linux สามารถทำหน้าที่เป็น Domain Controller สำหรับ Windows Machines ได้หรือไม่?
ในการตั้งค่าสำนักงานขนาดเล็ก (พนักงาน 5-6 คน) เรามีไคลเอนต์ Windows XP และ Windows Vista เจ็ดแห่งรวมถึงเซิร์ฟเวอร์ linux สองสามตัว เป็นไปได้ไหมที่จะตั้งค่าเครื่อง linux เพื่อทำหน้าที่เป็นตัวควบคุมโดเมนเพื่อมอบความสามารถในการลงชื่อเข้าใช้ครั้งเดียวและมีลักษณะคล้ายโฆษณาสำหรับเครือข่าย

1
Single Sign On (SSO) พร้อม Xgrid ไม่มี OS X Server (10.6.x)?
ฉันได้เล่นกับ Xgrid ของ Apple เมื่อไม่นานมานี้และหวังว่าจะได้พบกับวิธีการใช้ตัวแทนหลายตัวกำลังทำงานในฐานะผู้ใช้ที่ได้รับการรับรองความถูกต้องโดยไม่ต้องเรียกใช้ OS X Server บนคอนโทรลเลอร์ วิธีเดียวในการทำเช่นนี้คือผ่านตัวเลือกการรับรองความถูกต้องแบบลงชื่อเพียงครั้งเดียวสำหรับทั้ง Xgrid คอนโทรลเลอร์และเอเจนต์ที่นำมาใช้ผ่าน Kerberos ร่วมกับแพ็คเกจต่อไปนี้: OpenDirectory DirectoryService OpenLDAP (บางโอเพนซอร์ซมีให้บริการผ่านhttp://www.opensource.apple.com/release/mac-os-x-1062/ ) Kerberos เป็นสนิมเล็กน้อย ก่อนที่ฉันจะลงเส้นทางนั้นหรือสร้าง VM ที่ใช้ Linux + OpenLDAP + KDC มีใครที่ได้รับ SSO ให้ทำงานโดยไม่มี OS X Server ได้หรือไม่
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.