La connexion unique pour une Application Web

J'ai essayé de comprendre comment ce problème est résolu depuis plus d'un mois maintenant. J'ai vraiment besoin de venir avec une approche générale de ce travail. J'ai une théorie, mais je ne suis pas sûr que c'est le plus facile (ou corriger) approche et je n'ai pas été en mesure de trouver toute l'information à l'appui de mes idées.

Voici le scénario:

1) Vous avez une application web complexe qui offre un contenu sur une base d'abonnement.

2) les Utilisateurs sont nécessaires pour se connecter à votre application avec un nom d'utilisateur et mot de passe.

3) Vous vendre aux grandes entreprises, qui ont déjà une entreprise de technologie d'authentification (par exemple, Active Directory).

4) Vous souhaitez intégrer l'entreprise mécanisme d'authentification pour permettre à leurs utilisateurs d'ouvrir une session sur votre Application Web, sans avoir à entrer leur nom d'utilisateur et mot de passe.

Maintenant, toute solution que vous venez avec devrez fournir un mécanisme pour:

  • l'ajout de nouveaux utilisateurs
  • suppression d'utilisateurs
  • modifier les informations utilisateur
  • permettant aux utilisateurs de se connecter en

Idéalement, tous ces arriverait "automagiquement" lorsque l'entreprise cliente fait les modifications correspondantes à leur authentification.

Maintenant, j'ai une théorie que la façon de le faire (au moins pour Active Directory) serait pour moi d'écrire un côté client application qui s'intègre avec le client Active Directory pour suivre les changements ciblés, et de communiquer ces changements à mon Application Web. Je pense que si cette communication ont été effectués via des Services Web offerts par mon application web, puis il permettrait de maintenir une inviolable niveau de la sécurité, ce qui serait évidemment une exigence pour chacun de ces clients.

J'ai trouvé des informations sur un produit Microsoft Active Directory Federation Services (ADFS) qui peut ou peut ne pas être la bonne approche pour moi. Il semble un peu encombrant et avoir des exigences qui pourraient ne pas fonctionner pour tous les clients.

Pour d'autres ID de scénarios (comme Athènes et Shibboleth), je ne pense pas qu'une application client est nécessaire. C'est probablement juste une question de liant dans les services d'identification de l'.

Je vous serais reconnaissant de tout conseil que quelqu'un a sur de ce que j'ai mentionné ici. En particulier, si vous pouvez me dire si ma théorie est correcte sur la délivrance d'un côté client application qui communique avec le serveur Web côté des Services, ou si je suis totalement dans la mauvaise direction. Aussi, si vous pouviez me pointer à n'importe quel des sites web ou des articles qui expliquent comment faire, j'ai vraiment l'apprécier. Ma recherche n'a pas tourné beaucoup jusqu'à présent.

Enfin, si vous pouviez me le faire savoir de toutes les applications Web qui proposent actuellement ce service (notamment liée à une entreprise Active Directory), je vous serais très reconnaissant. Je me demandais si d'autres B2B Web app est comme salesforce.com ou hoovers.com offrir un service similaire pour leurs clients d'entreprise.

Je déteste être dans l'obscurité et vous serions reconnaissants de la lumière, vous pouvez jeter ...

Jeremy

Je suis curieux de savoir pourquoi quelqu'un downvoted cette question hier. Des commentaires à ce sujet?
Notez que c'était DEUX ANS après il a été posté que quelqu'un downvoted. Coïncidence (?), la personne qui downvoted il peut avoir été l'un millième de la visionneuse.
Je suis à la recherche de quelque chose de très similaire. Avez-vous une solution à votre problème? S'il vous plaît partager des idées sur la manière d'atteindre cet objectif.
Désolé, pas vraiment. J'ai fini par quitter l'entreprise où j'étais censé faire cette tâche, de sorte qu'il n'était pas vraiment une priorité pour moi.
Cette question est assez similaire à stackoverflow.com/questions/4664178/... et stackoverflow.com/questions/8934753/...

OriginalL'auteur Jeremy Goodell | 2010-04-02

  1. 3

    Shibboleth est conçu pour soutenir ce scénario. Cependant, il va compter sur vos clients des sociétés de mise en œuvre de l'identité du fournisseur de mécanismes. Pour le moment, c'est très commun dans les universités. De plus, si vous voulez des informations de l'utilisateur (plus que juste un pseudonyme identifiant), vous auriez besoin de la compagnie d'accepter la libération de ces attributs.

    J'ai du mal à croire que de nombreuses entreprises serait d'ouvrir leur système d'authentification pour vous, il vous suffit de fournir l'authentification unique.

    Vous trouverez peut-être préférable de s'appuyer sur OpenID ou similaire, et à l'aide d'un "remember me" cookie afin de réduire la nécessité pour les gens d'entrer des mots de passe.

    OriginalL'auteur John

  2. 2

    Un problème de base avec votre approche, c'est que vous envisagez de votre application web dans l'isolement. Les employés à l'entreprise de votre client ne sera pas seulement besoin de l'authentification unique pour votre application web, mais aussi un peu/quelques/beaucoup d'autres, et l'extension de votre approche nécessiterait un sur mesure mise en œuvre pour chacun de ces pour en permettre l'accès.

    D'où l'adoption généralisée de OpenAthens et Shibboleth dans la bibliothèque universitaire de la communauté à tirer parti de la localement des justificatifs d'identité. Typique de moyenne/grande université peuvent s'abonner à différents produits/services à partir de plus d'une cinquantaine d'éditeurs différents, et par le déploiement de OpenAthens/Shibboleth ils peuvent profiter de la SAML standard ouvert (SAML est le protocole qui Shibboleth utilise) c'est de voir une augmentation de la participation non seulement dans le secteur académique, mais aussi dans le secteur commercial.

    Jean de la réponse ci-dessus renvoie à une autre question: il y a un certain nombre de normes ouvertes qui ont émergé récemment, SAML et OpenID entre eux. Si les fournisseurs de contenu doivent décider s'ils veulent mettre en œuvre tout ou partie de ces nativement, mais ils utilisent séparée de la technologie des piles et donc la mise en œuvre et les coûts de soutien peuvent être dupliqués.

    Tout à fait un peu des grands éditeurs ont mis en œuvre OpenAthens que ce soutient Athènes, SAML/Shibboleth et OpenID dans une plate-forme unique, avec des options pour brancher d'autres technologies de trop, ou de l'écriture d'un module personnalisé pour permettre à une application de se connecter, par exemple, de facturation ou de droits d'enregistrement du système de laquelle les clients utilisateurs de l'ouverture de la session.

    Ce secteur de la gestion de l'accès est de se déplacer vers des standards ouverts, de sorte que la construction de votre propre méthode serait de priver l'accès à votre application pour un grand nombre d'utilisateurs

    OriginalL'auteur Bob