我们正在考虑为合作伙伴公司提供SSO,以便他们可以访问我们的网站而无需单独登录。合作伙伴公司已经在其内部网和其他合作伙伴中实施了SSO。我们只需要能够接收SAML令牌并确认它们是有效的(可以使用Browser / Post pr Browser / Artifact配置文件)。我们不需要为域用户实施SSO。
问题: 是否值得/可能实现一个服务(usng WCF?),它可以接收和处理第三方发布的这些令牌,或者我们是否需要在我们这边实施供应商应用程序(如SiteMinder,PingFederate等),甚至能够在这个联邦中充当依赖方。
答案 0 :(得分:2)
您应该查看的一个开源解决方案是OpenSSO。您可以下载和部署OpenSSO作为全方位服务的Web访问管理系统,包括通过SAML 2.0和其他协议进行联合单点登录,或者只部署Fedlet,它提供简单的服务提供商/依赖方实施(包括Java)和Java(pre-release now,但很快支持).Net。
答案 1 :(得分:2)
我们使用OpenAM Fedlet取得了巨大成功。 OpenAM为您在SP上部署的IDP预配置WAR文件。然后,您必须与应用程序上的会话管理集成,以告知用户已通过身份验证。它只是SAML 2,它是如此轻量级并且可以与您的应用程序共存。
OpenAMS是OpenSSO的新名称,因为Sun-Oracle计划放弃它。它托管在forgerock.com。
我也听说过Shibboleth SP的好消息。它在Apache或任何Web服务器下作为CGI运行。它使用REMOTE_USER变量将用户ID传递给您的应用程序。 Shibboleth是一个基于OpenSAML库的Internet2中间件项目。
答案 2 :(得分:0)
可以找到几个开源SAML实现的列表here。
OpenSSO,OpenSAML和Shibboleth似乎是主要的选择。