Supongamos que tengo 3 sitios en los que quiero tener SSO, site1.com, site2.com y auth.com. SSL siempre es necesario.
Según las las cookies de SiteMinder se describen aquí , uno de esos dominios sería el dominio asociado "cookie principal", y otros redireccionarán a ese dominio en caso de una falla de autenticación.
Cómo funcionan las cosas actualmente
-
Para evitar el clickjacking, la página de inicio de sesión de auth.com tiene el script NoFrames y un script de destructor de marcos implementado para los antiguos browers.
-
Después de que el cliente inicie sesión en site1.com o site2.com, AJAX inicia y realiza algunas operaciones (sondeo, etc.). Durante este tiempo, Javascript puede obtener un error que dice que la sesión no es válida. Este error se produce al utilizar AJAX. (Si ocurriera durante la navegación, habría una redirección y no se aplicará toda la pregunta)
-
En este punto, puedo actualizar la página y redirigir, o pedirle al usuario que inicie sesión nuevamente en auth.com, pero luego pierdo el estado de mi aplicación en la memoria.
Un enfoque nuevo / continuo para el usuario final
Como solución alternativa, estoy considerando usar Javascript para crear un iFrame para auth.com/RefreshOnly (iFrames ok) POSTing mis datos de sesión. Auth.com/RefreshOnly verá la cookie para su dominio y, si elige, redirige a mi origen site1.com , indicándole que actualice mi cookie actual ... todo dentro de un iFrame oculto.
Pregunta
¿Está permitido este uso limitado de iFrame en un proveedor de IDP / autenticación? (no exclusivo de Siteminder)