公司的企业SSO实施

Question

我一直在尝试在企业环境中解决SSO问题，哪种解决方案最适合我的公司问题。

我们的网域上有数个应用程式（主要是.net，但有些是Java）。a.mydomain.com，b.mydomain.com等...

我的问题在于试图弄清楚如何实现单一登录，因为据我所知，OpenID和OpenAuth之类的东西用于基于SSO（即基于消费者的SSO）链接的facebook，twitter。

我们需要一个内部SSO系统设置，但是我找不到许多企业示例来说明如何执行此操作以及要使用哪些协议/框架/服务器。

谁能给我一个想法，在这种情况下应如何使用OpenID / OpenAuth，以及有什么优点和缺点？

同样，基于令牌的SSO会是一个好主意吗？ 考虑到所有应用程序都将位于同一域（已设置SSL）。

最后，基于cookie的SSO怎么样？

谢谢尼尔

Answer 1

正如您提到的那样，所有应用程序都在同一个域中，并且您正在寻找内部SSO解决方案，因此建议您使用基于cookie的SSO服务。

• 实施起来会更容易。 只需检查Cookie并授予用户访问应用程序的权限。
• 您的不同应用程序之间无需交换XML消息（无需设计架构）
• 您不需要雇用任何Web服务专家。 （只要您的开发人员知道如何处理Cookie）
• 最终它将取决于您的可伸缩性要求 。

更新：

可扩展性：

• 将来，您可能会在不同地理位置扩展用户基础。
• 您的不同应用程序可能具有不同的服务器，并且用户数据库可能变得分散。
• 在这种情况下，您将必须维护身份存储库以将身份验证作为服务提供（这由您提到的身份验证框架完成）

饼干：

• Cookie的处理不是火箭科学。 浏览器会在HTTP请求中自动将cookie发送到您的服务器，而您只需要阅读它即可。
• 创建cookie wen用户登录。将domain属性设置为您的根域，以便其他子域可以访问它。
• 用户尝试登录应用程序时检查cookie。 如果存在cookie，则表示用户已经登录。
• 用户注销时，请不要忘记删除它们。

Answer 2

Active Directory联合身份验证服务（ http://msdn.microsoft.com/en-us/library/bb897402.aspx ）是一种企业解决方案。 我不建议您编写自己的令牌发行者，因为其中涉及很多风险，安全性和性能。