因此,我負責爲我們的Windows應用程序實施SSO。目前,在用戶登錄到機器後,他或她必須在他或她加載應用程序時重新登錄到我們的應用程序。應用程序通過查詢LDAP服務器來驗證用戶。使用LDAP對SSO進行身份驗證
我們希望用戶在點擊它時自動登錄到應用程序。我的理解是,LDAP身份驗證仍然必須發生,但我不完全確定工作流程是什麼,以及我們如何驗證用戶而不要求他們重新輸入用戶名/密碼。請注意,這不是一個Web應用程序,所以我不能像使用SAML或OAuth工具(除非我記錯了這個太..?)
所以我的具體問題如下:
是它可能使用LDAP進行SSO,如果可以,如何實現?我是否可以用他或她的用戶名對用戶進行身份驗證,還是需要密碼?
任何指導將不勝感激,並很樂意提供進一步的澄清,如果需要的話。
首先,LDAP是一種協議,用於與實現此協議的數據庫進行通信。
因此,LDAP數據庫(通常稱爲目錄)是...數據庫,因此不提供SSO功能。
要部署SSO解決方案,您需要SSO服務。您的所有應用程序都必須以某種方式「符合」此服務。
我可以想到在不添加第三方應用程序的情況下創建「Windows SSO」的唯一方法是應用程序可以檢索客戶端發出的請求中的NTLM信息,並使用用戶數據來標識他。 (但爲了安全起見,我讓你判斷你對它的看法;))。 See this php example
一些LDAP實現,包括OpenLDAP的,提供某種程度的支持的Generic Security Service Application Program Interface (GSSAPI)或SPNEGO(特定GSSAPI實現)
雖然不是小事,有可能從支持GSSAPI「瀏覽器」來執行SSO。 AFIK,IE,Firefox,Safari和Chrome都爲GSSAPI提供某種級別的支持,儘管每個瀏覽器都需要特定的配置(通常將服務器列入白名單)。
有許多SSO產品在「可能」更安全和更簡單的過程中執行這些功能比自己做。
通常由於實現問題,有許多已知的漏洞細節已被GSAPPI/SPNEGO利用。
您應該針對特定問題詢問具體問題。由於Stack Overflow隱藏了你的密切原因:*「有些問題要求我們推薦或查找書籍,工具,軟件庫,教程或其他非本地資源,因爲它們傾向於吸引自以爲是的答案和垃圾郵件,因此不適合Stack Overflow。相反,請描述問題以及迄今爲止解決問題所做的工作。「* – jww
感謝您的評論,我添加了更具體的問題陳述。 –