Fatal编程技术网
  • jakarta-ee/
  • Jakarta ee 单点登录ActiveDirectory和JavaEE

Jakarta ee 单点登录ActiveDirectory和JavaEE

jakarta-ee jboss active-directory spring-security single-sign-on

Jakarta ee 单点登录ActiveDirectory和JavaEE,jakarta-ee,jboss,active-directory,spring-security,single-sign-on,Jakarta Ee,Jboss,Active Directory,Spring Security,Single Sign On,情景: 我们向主要使用ActiveDirectory的大公司销售JavaEE(JBoss+SpringSecurity)软件 我们的JavaEE(JBoss)软件可以连接到ActiveDirectory,但是它需要在ActiveDirectory中添加角色,即cn=esp\U管理员,cn=Roles,o=company,o=com 据我所知,JBoss需要一个帐户“绑定”到ActiveDirectory来进行搜索,即cn=admin,cn=Users,o=company,o=com 用户仍然需要

情景:

  • 我们向主要使用ActiveDirectory的大公司销售JavaEE(JBoss+SpringSecurity)软件
  • 我们的JavaEE(JBoss)软件可以连接到ActiveDirectory,但是它需要在ActiveDirectory中添加角色,即cn=esp\U管理员,cn=Roles,o=company,o=com
  • 据我所知,JBoss需要一个帐户“绑定”到ActiveDirectory来进行搜索,即cn=admin,cn=Users,o=company,o=com
  • 用户仍然需要手动登录到我们的JavaEE应用程序(而不是单点登录)
  • 说我们的Java EE应用程序
    http://javaee-webapp
    其中一个公司门户位于
    http://intranet-portal
    说使用亚特兰西岛Jira
    • 如何使用此设置实现单点登录? 我想到的一件事是从
    http://intranet-portal
    ,但只有当我们的Java EE webapp是
    http://intranet-portal
    ,即
    http://intranet-portal/javaee-webapp


    我已经阅读了下面的QA

    我认为客户不希望我们只为单点登录安装Shibboleth IDProvider

    除了“记住我”选项之外,我还有什么其他选择呢?

    您确实可以使用Shibboleth(或者可能)。这可能非常复杂,需要为本SSO范围内的所有网站(服务提供商)进行部署。它专门为不一定属于同一站点的SSO身份验证和授权而设计。如果您的客户希望在耦合不太紧密的环境中使用SSO,他们将需要这种技术。(请注意,实现Shibboleth最困难的部分与其说是安装SP或IdP软件,不如说是围绕属性发布和授权制定政策:更多的是关于管理和政治,而不是技术问题)

    如果客户要连接的客户机也在他们的控制之下(例如,如果他们都是公司可以配置的Windows桌面机),您可以查看。这可以通过IE/Firefox(至少)从Windows/Linux/OSX客户机上实现,但您需要将客户机配置为指向Active Directory服务器(作为Kerberos KDC)。如果用户必须在自己的机器上执行此操作,则可能会造成混淆

    如果可以控制客户端机器的配置,SPNEGO解决方案可能会更容易,但Shibboleth/OpenSSO解决方案在这方面会更灵活(如果您需要,Shibboleth IdP可以使用SPNEGO作为身份验证机制)