Modelos de inicio de sesión único para un entorno mixto

Navega tus respuestas
1

No estoy completamente seguro de si este es el sitio adecuado para esto, pero lo intentaré.

Básicamente, estoy buscando diferentes maneras de configurar un servicio de inicio de sesión único para un entorno corporativo existente. Dentro de este entorno, hay algo desde sistemas antiguos heredados hasta nuevos servicios web, todos ejecutándose en diferentes plataformas.

Realmente no estoy buscando soluciones específicas, tanto como enfoques / estrategias de alto nivel. Encontré un excelente redacción aquí , pero es de 1997, así que no está exactamente actualizado. Si conoce un artículo similar, pero más nuevo, publique un enlace en él. Si no, te agradecería eternamente si pudieras contribuir con información sobre modelos más modernos que aún no se han mencionado. Si ha implementado un sistema de este tipo en un entorno similar, me interesaría saber cómo lo hizo y por qué eligió esa estrategia específica.

Si esta pregunta encajaría mejor en otro sitio, deje un comentario y lo publicaré allí.

¡Gracias!

    
pregunta Tommy Brunn 08.01.2012 - 16:51
fuente

2 respuestas

2

Si intenta implementar un sistema SSO, debe distinguir dos soluciones diferentes fundamentales:

  1. SSO del lado del servidor : en este enfoque, cada aplicación de servidor debe usar un sistema de autenticación central como un LDAP o debe confiar en algún tipo de ticket como en Kerberos o SAML o la autenticación debe hacerse con algún tipo de certificado .
  2. SSO del lado del cliente : en este enfoque, debe usar algún tipo de software cliente que automatice el proceso de autenticación.

La ventaja de la SSO del lado del servidor es que puede implementarse de manera que le brinde más seguridad como una autenticación de contraseña simple. Pero cada servidor debe poder unirse al sistema SSO. En algunos casos, esto es tecnológico complicado (SAML para interfaces gráficas de usuario distintas de los navegadores web) y para aplicaciones heredadas puede ser un obstáculo para la presentación.

En esas situaciones, tiene que usar el SSO del lado del cliente donde algún tipo de software maneja la autenticación mediante el envío de credenciales de inicio de sesión y contraseña a los campos de entrada de la aplicación heredada. Este enfoque tiene una debilidad de phishing, ya que es difícil para el cliente confiar en el servidor, porque una ventana de inicio de sesión solo se puede identificar mediante algún tipo de título de ventana que se puede hackear fácilmente en cada sistema de ventanas.

Regla general: el SSO en redes heterogéneas es complicado y muy costoso.

    
respondido por el ceving 09.01.2012 - 11:50
fuente
2

Intentar migrar las aplicaciones heredadas a un sistema SSO es muy difícil. Incluso el simple hecho de configurar nuevas aplicaciones listas para usar para SSO puede ser casi imposible.

Una opción más alcanzable (que allana el camino para una verdadera implementación de SSO, y por lo tanto debe considerarse como un requisito previo) es utilizar un sistema de gestión de cuenta / autenticación consolidada: sus usuarios deben tener una única identificación de usuario y una contraseña única para acceder a múltiples servicios.

LDAP es la opción obvia para esto. Eso no quiere decir que no será un trabajo difícil, incluso si comienza con algo como GoSA o MS-Active Directory, deberá crear un modelo de usuario consolidado y probablemente deberá adaptar el esquema predeterminado en cierta medida.

    
respondido por el symcbean 09.01.2012 - 13:59
fuente

Lea otras preguntas en las etiquetas

Autenticación básica a través de HTTP redirigida a HTTPS - ¿se filtra? Instalando aplicaciones con diferentes cuentas de usuario en linux