คำถามติดแท็ก single-sign-on

ฉันบอกว่าเป็นไปได้ที่จะสร้างเว็บแอปพลิเคชันที่ไม่ต้องการการเข้าสู่ระบบ ผู้ใช้เข้าสู่ระบบ Windows ซึ่งรับรองความถูกต้องผ่านการค้นหา Active Directory (LDAP) จากนั้นพวกเขาควรจะสามารถไปที่เว็บแอพของฉันและไม่เห็นข้อความแจ้งการเข้าสู่ระบบ ลูกค้าเหล่านี้อ้างถึงสิ่งนี้ว่าการลงชื่อเพียงครั้งเดียว (อาจไม่ถูกต้องและเป็นส่วนหนึ่งของความสับสนของฉัน) แต่จากสิ่งที่ฉันอ่าน Single Sign On จาก Tomcat docs คือ: Single Sign On Valve จะถูกใช้เมื่อคุณต้องการให้ผู้ใช้สามารถลงชื่อเข้าใช้แอปพลิเคชันเว็บใด ๆ ที่เชื่อมโยงกับโฮสต์เสมือนของคุณจากนั้นให้มีการระบุตัวตนของพวกเขาโดยเว็บแอปพลิเคชันอื่น ๆ ทั้งหมดบนโฮสต์เสมือนเดียวกัน ชัดเจนสำหรับฉันอย่างสมบูรณ์ ผู้ใช้จะต้องเข้าสู่ระบบครั้งเดียวและสามารถเข้าถึงเว็บแอพพลิเคชั่นทุกตัวบนอินสแตนซ์ของ Tomcat แต่สิ่งที่ฉันต้องทำก็คือให้พวกเขาเข้าสู่ระบบโดยไม่ต้องให้ข้อมูลประจำตัวใด ๆ กับเซิร์ฟเวอร์ Tomcat ของฉัน ดังนั้นในการทำงานนี้ฉันจึงจินตนาการ: ผู้ใช้ทำการร้องขอสำหรับบางหน้า เซิร์ฟเวอร์ไม่เห็นโทเค็นเซสชันแล้วขอให้ไคลเอนต์สำหรับข้อมูลประจำตัวบางอย่าง เบราว์เซอร์ไคลเอนต์โดยไม่มีการแทรกแซงจากผู้ใช้ให้ข้อมูลประจำตัวบางอย่างไปยังเซิร์ฟเวอร์ จากนั้นใช้ข้อมูลประจำตัวที่ได้รับจากเบราว์เซอร์ไคลเอนต์ซึ่งจะทำการค้นหาใน LDAP ฉันเคยเห็นตัวอย่างบางส่วนที่ใช้ใบรับรองฝั่งไคลเอ็นต์ ... โดยเฉพาะอย่างยิ่งระบบ DoD PKI ซึ่งเหมาะสมสำหรับฉันเพราะในกรณีเหล่านั้นคุณกำหนดค่า Tomcat เพื่อร้องขอใบรับรองฝั่งไคลเอ็นต์แต่เพิ่งเข้าสู่ระบบ windows …

40 authentication  active-directory  single-sign-on  pki 

ฝ่ายไอทีกำลังพิจารณาที่จะอนุญาตให้ติดตั้งและปรับใช้เบราว์เซอร์ Google Chrome อัตโนมัติไปยังเดสก์ท็อปกว่า 100+ ข้อกำหนดอย่างใดอย่างหนึ่งคือสำหรับข้อมูลประจำตัวของโดเมนที่จะผ่าน พฤติกรรมที่ต้องการเหมือนกันกับ Internet Explorer มีปัญหาเกิดขึ้นเมื่อเรียกดูทรัพยากรอินทราเน็ต ไซต์อินทราเน็ตที่ต้องการการรับรองความถูกต้องของ Active Directory กำลังแสดงกล่องโต้ตอบ "จำเป็นต้องมีการรับรองความถูกต้อง" สำหรับแต่ละไซต์คุณต้องป้อนข้อมูลรับรองโดเมนของคุณ คำถาม : ปัจจุบัน Google Chrome หรือมีแผนรองรับการรับรองความถูกต้องของ Windows หรือไม่ ถ้าเป็นเช่นนั้นคุณจะกำหนดการตั้งค่าความปลอดภัยนี้ได้อย่างไร?

26 windows  authentication  single-sign-on  google-chrome  passthrough 

เราใช้ทั้งเซิร์ฟเวอร์ Windows และ Linux ที่ บริษัท พัฒนาซอฟต์แวร์ของเรา หนึ่งในจุดฝืดของการตั้งค่านี้คือเราไม่มีวิธีการลงชื่อเข้าระบบครั้งเดียว การเป็นร้านค้า Microsoft มากกว่า Linux ที่เราต้องการรับรองความถูกต้องกับโฆษณา ฉันอ่านบทความออนไลน์สองสามฉบับและเข้าใจว่าเป็นไปได้ ขณะนี้เรากำลังใช้บริการต่อไปนี้บน Linux ที่ต้องใช้การรับรองความถูกต้อง: - เซิร์ฟเวอร์ git (ผ่าน SSH) - Sendmail - Apache เว็บเซิร์ฟเวอร์ปัจจุบันใช้ไฟล์. htaccess - การแชร์ไฟล์ SAMBA สิ่งที่ฉันอยากรู้คือการตั้งค่าประเภทนี้เป็นประโยชน์อย่างไร มันใช้งานได้จริงหรือว่าเป็นข้อผิดพลาดได้ง่าย?

18 linux  windows  authentication  single-sign-on 

ฉันต้องการ จำกัด การเข้าถึงเนื้อหาสแตติกให้บริการโดยใช้ nginx โดยใช้ SAML 2.0 IdP ที่มีอยู่ (ใน Apache สิ่งนี้จะทำกับโมดูลเช่นmod_mellonหรือmod_auth_saml) วิธีที่ดีที่สุดในการใช้การตรวจสอบสิทธิ์ SAML สำหรับเนื้อหาคงที่ใน nginx คืออะไร? หากยังคงใช้ส่วนหัว X-Accelอยู่จะมีสคริปต์ตัวช่วยออกจากพร็อกซีจากการตรวจสอบสิทธิ์ SAML หรือไม่หรือฉันต้องเริ่มต้นจากศูนย์

16 nginx  single-sign-on 

เราเป็นร้านเล็ก ๆ ที่ใช้งาน Google Apps (Enterprise) สำหรับความต้องการทางอีเมลของเรา รักมัน ภายในเราใช้ Windows AD (2003) ไม่มีการร้องเรียนอย่างใดอย่างหนึ่ง ฉันต้องการได้รับวิธีการบางอย่างของ SSO ระหว่าง AD และ Google Apps เช่นนั้น AD เป็นที่เดียวที่คนของฉันต้องจัดการ (และเปลี่ยนรหัสผ่านเป็นระยะ)! ฉันเคยดู "tfm" ของ Google ในอดีต แต่ฉันเดาว่าฉันไม่เข้าใจเลย มีใครทำเช่นนี้? ถ้าเป็นเช่นนั้นคุณยินดีที่จะแบ่งปันอย่างไร สามารถทำได้โดยไม่ต้องใช้ความซับซ้อนและค่าใช้จ่ายจำนวนมากหรือไม่?

15 active-directory  g-suite  single-sign-on 

เรามีธุรกิจขนาดเล็กและปัจจุบันไม่จำเป็นต้องมีโดเมนภายในสำนักงานของเรา เรามีเครือข่ายพื้นฐานและเซิร์ฟเวอร์เดียวที่ใช้ Windows Server 2008 R2 พร้อมด้วยไฟล์บางไฟล์และแอพของบุคคลที่สาม เราใช้ Office 365 และมีการสมัครสมาชิก Windows Azure ดูเหมือนว่าทั้งสองจะรักษา Active Directory ให้กับองค์กรของเราในการซิงค์ค่อนข้างดี (เช่นข้อมูลมีลักษณะเหมือนกันทั้งสองระบบ) แอปบุคคลที่สามทั้งหมดที่เราเรียกใช้บนเซิร์ฟเวอร์แอปของเรารองรับ LDAP ในฐานะผู้ให้บริการข้อมูลประจำตัว แต่เนื่องจากเราไม่ได้เรียกใช้โดเมนเราจึงต้องให้ผู้ใช้แต่ละคนสร้างชื่อล็อกอิน / รหัสผ่านใหม่สำหรับบริการเหล่านี้ ในอุดมคติแล้วเราต้องการให้เซิร์ฟเวอร์นี้ซิงค์จาก Azure / Office 365 และอนุญาตให้ผู้ใช้รับรองความถูกต้องโดยใช้ข้อมูลประจำตัว Office365 วรรณกรรมทั้งหมดที่ฉันได้พบพูดคุยเกี่ยวกับการซิงโครไนซ์ FROM จากสถานที่กับ Azure แต่เราต้องการซิงค์ FROM Azure / Office 365 กับเซิร์ฟเวอร์บนสถานที่ตั้งของเรา ฉันเดาว่าเซิร์ฟเวอร์ในสถานที่ของเรากลายเป็นผู้ให้บริการข้อมูลแบบติดต่อกับภายนอกสำหรับไดเรกทอรี Office 365 ของเรา ... เป็นไปได้หรือไม่หรือเราต้องการผู้ให้บริการ LDAP บุคคลที่สามที่สามารถรวมข้อมูลประจำตัวจาก …

12 azure  single-sign-on  microsoft-office-365 

ฉันกำลังพิจารณาปรับใช้mod_auth_kerbบนเว็บเซิร์ฟเวอร์ภายในของเราเพื่อเปิดใช้งาน SSO ปัญหาที่ชัดเจนอย่างหนึ่งที่ฉันเห็นคือมันเป็นวิธีการทั้งหมดหรือไม่ว่าผู้ใช้โดเมนของคุณสามารถเข้าถึงเว็บไซต์ได้หรือไม่ เป็นไปได้ไหมที่จะรวมmod_auth_kerbกับสิ่งที่ต้องการmod_authnz_ldapตรวจสอบการเป็นสมาชิกกลุ่มในกลุ่มใดกลุ่มหนึ่งใน LDAP? ฉันคาดเดาว่าKrbAuthoritativeตัวเลือกจะมีส่วนเกี่ยวข้องกับสิ่งนี้หรือไม่ นอกจากนี้ตามที่ฉันเข้าใจโมดูลจะตั้งชื่อผู้ใช้username@REALMหลังจากการรับรองความถูกต้อง แต่แน่นอนในไดเรกทอรีที่ผู้ใช้เก็บไว้เป็นชื่อผู้ใช้เท่านั้น นอกจากนี้บางเว็บไซต์ภายในที่เราเรียกใช้เช่น trac มีโปรไฟล์ผู้ใช้เชื่อมโยงกับชื่อผู้ใช้แต่ละคนแล้ว มีวิธีแก้ไขปัญหานี้หรือไม่โดยการถอดบิต realm ออกหลังจากการพิสูจน์ตัวตน

12 apache-2.2  ldap  kerberos  single-sign-on 

ฉันตั้งค่า SSO สำหรับผู้ใช้ Active Directory ผ่านเว็บไซต์ที่ทำงานบน Apache (Apache2 บน SLES 11.1) และเมื่อทดสอบกับ Firefox ทุกอย่างก็ใช้ได้ดี แต่เมื่อฉันพยายามเปิดเว็บไซต์ใน Internet Explorer 8 (Windows 7) สิ่งที่ฉันได้รับคือ "คำขอไม่ดี เบราว์เซอร์ของคุณส่งคำขอว่าเซิร์ฟเวอร์นี้ไม่เข้าใจ ขนาดของฟิลด์ส่วนหัวคำขอเกินขีด จำกัด เซิร์ฟเวอร์ การอนุญาต: เจรจา [สายยาวพิเศษ] " vhost.cfg ของฉันมีลักษณะเช่นนี้: <VirtualHost hostname:443> LimitRequestFieldSize 32760 LimitRequestLine 32760 LogLevel debug <Directory "/data/pwtool/sec-data/adbauth"> AuthName "Please login with your AD-credentials (Windows Account)" …

9 apache-2.2  single-sign-on  bad-request  mod-auth-kerb 

ในการตั้งค่าสำนักงานขนาดเล็ก (พนักงาน 5-6 คน) เรามีไคลเอนต์ Windows XP และ Windows Vista เจ็ดแห่งรวมถึงเซิร์ฟเวอร์ linux สองสามตัว เป็นไปได้ไหมที่จะตั้งค่าเครื่อง linux เพื่อทำหน้าที่เป็นตัวควบคุมโดเมนเพื่อมอบความสามารถในการลงชื่อเข้าใช้ครั้งเดียวและมีลักษณะคล้ายโฆษณาสำหรับเครือข่าย

9 linux  windows  samba  domain-controller  single-sign-on 

ฉันได้เล่นกับ Xgrid ของ Apple เมื่อไม่นานมานี้และหวังว่าจะได้พบกับวิธีการใช้ตัวแทนหลายตัวกำลังทำงานในฐานะผู้ใช้ที่ได้รับการรับรองความถูกต้องโดยไม่ต้องเรียกใช้ OS X Server บนคอนโทรลเลอร์ วิธีเดียวในการทำเช่นนี้คือผ่านตัวเลือกการรับรองความถูกต้องแบบลงชื่อเพียงครั้งเดียวสำหรับทั้ง Xgrid คอนโทรลเลอร์และเอเจนต์ที่นำมาใช้ผ่าน Kerberos ร่วมกับแพ็คเกจต่อไปนี้: OpenDirectory DirectoryService OpenLDAP (บางโอเพนซอร์ซมีให้บริการผ่านhttp://www.opensource.apple.com/release/mac-os-x-1062/ ) Kerberos เป็นสนิมเล็กน้อย ก่อนที่ฉันจะลงเส้นทางนั้นหรือสร้าง VM ที่ใช้ Linux + OpenLDAP + KDC มีใครที่ได้รับ SSO ให้ทำงานโดยไม่มี OS X Server ได้หรือไม่

1 mac-osx  apple  single-sign-on