Междоменный домен с помощью OpenAM с SAML 2.0

Question

Междоменный домен с помощью OpenAM с SAML 2.0

У меня есть требование cross domain sso, Итак, я выбрал OpenAM с SAML, У меня есть два приложения, размещенные на разных серверах и хосте, для которых мне нужно реализовать SSO, Теперь я читаю о OpenAM with SAML но мог бы получить основную идею о настройке. LDAP используется как хранилище пользовательских данных. Теперь я что-то имею в виду и хочу проверить, отвечает ли это моим требованиям.

Так как у меня есть два приложения (AppA а также AppB) нуждается в реализации единого входа. Мне нужно два OpenAM, настроенных в качестве поставщика услуг? и должны быть развернуты в разных контейнерах Tomcat? Если каждый service providers быть развернутым в AppA а также AppB?
Мне нужен еще один отдельный контейнер для кота identity provider OpenAM?
sp должны быть зарегистрированы в idp а также idp должны быть зарегистрированы в sp в том же Circle of trust?

Должен ли я сделать что-нибудь еще? Снова я должен настроить отдельный LDAP для каждого idp а также sp? В любом случае, что может быть идеальной установкой в моем случае?

2

single-sign-on saml-2.0 openam opensso

Источник

user787793 28 авг '13 в 10:40

2 ответа

Другие вопросы по тегам single-sign-on saml-2.0 openam opensso

user1740662 29 авг '13 в 09:14 2013-08-29 09:14 · Answer 1 · 2013-08-29 09:14

Вам нужен один IdP, ваши приложения должны реализовывать SP. Если ваши приложения основаны на Java, вы можете использовать Fedlet OpenAM или использовать расширение SAML Spring Security (работает как шарм).

Есть также PHP SAML SP и даже модуль SAML сервера Apache http...

Или вы можете использовать OpenIG в качестве обратного прокси-сервера (но это веб-приложение Java), которое также реализует SAML SP.

-Bernhard

user1787701 07 май '14 в 05:50 2014-05-07 05:50 · Answer 2 · 2014-05-07 05:50

Еще одно возможное решение, в котором вы можете использовать OpenAM "из коробки" - это использование федерации удостоверений OpenAM:

Используйте стандартные настройки федерации идентификации OpenAM (с IDP и SP), как описано в этом посте: http://fczaja.blogspot.com/2012/06/idp-initiated-sso-and-identity.html
Вам понадобится IDP для AppA и SP для AppB или наоборот. IDP будет подключен к вашему пользовательскому магазину.
На стороне SP создайте фиктивный пользовательский магазин, используя что-то вроде OpenDS.
Импортируйте всех пользователей из IDP в SP (используя ежедневное пакетное задание по расписанию)
Реализовать авто-федерацию на основе одного или нескольких пользовательских атрибутов.
Используйте функции авторизации OpenAM на стороне SP, чтобы предоставить доступ к приложению на стороне SP