我们正在考虑为合作伙伴公司提供 SSO,以便他们无需单独登录即可访问我们的网站。合作伙伴公司已经在其内部网以及其他合作伙伴中实施了 SSO。我们只需要能够接收 SAML 令牌并确认它们是有效的(可以使用 Browser/Post pr Browser/Artifact 配置文件)。我们不需要为我们的域用户实施 SSO。
问题: 是否值得/可能实现一个服务(usng WCF?)来接收和处理由第三方发布的这些令牌,或者我们是否需要在我们这边实现一个供应商应用程序(如 SiteMinder、PingFederate 等)甚至能够在这个联盟中充当依赖方。
【问题讨论】:
您应该看看的一个开源解决方案是OpenSSO。您可以下载 OpenSSO 并将其部署为全方位服务的 Web 访问管理系统,包括通过 SAML 2.0 和其他协议的联合单点登录,或者仅部署 Fedlet,它提供了一个简单的服务提供者/依赖方实施(包括ACS)适用于 Java 和(pre-release now,但很快就会支持).Net。
【讨论】:
我们使用 OpenAM Fedlet 取得了巨大成功。 OpenAM 为 IDP 预配置了一个 WAR 文件,然后您将其部署在 SP 上。然后,您必须与应用程序上的会话管理集成,以告知用户已通过身份验证。它只支持 SAML 2,这就是它如此轻量级并且可以与您的应用程序共存的原因。
OpenAM 是 OpenSSO 的新名称,因为 Sun-Oracle 计划放弃它。它托管在 forgerock.com 上。
我还听说过关于 Shibboleth SP 的好消息。它在 Apache 或任何 Web 服务器下作为 CGI 运行。它使用 REMOTE_USER 变量将用户 ID 传递给您的应用程序。 Shibboleth 是一个基于 OpenSAML 库的 Internet2 中间件项目。
【讨论】:
可以在here 找到几个开源 SAML 实现的列表。
OpenSSO、OpenSAML 和 Shibboleth 似乎是主要选项。
【讨论】: