Fatal编程技术网
  • java/
  • Java SSO-中央身份验证服务(CAS)-用于生产?

Java SSO-中央身份验证服务(CAS)-用于生产?

java spring spring-security

Java SSO-中央身份验证服务(CAS)-用于生产?,java,spring,spring-security,cas,Java,Spring,Spring Security,Cas,人们是否在银行/金融服务项目上使用中央认证服务(CAS)?它是生产使用的可靠框架 更新:- 用户详细信息存储在Active Directory中,但与windows登录无关 我们有大约5个不同的相关web应用程序(单独的WAR),它们可能有普通用户。我们计划实现一个通用的web应用程序,该应用程序使用SpringSecurity处理登录机制。这个应用程序将把Spring安全上下文传递给所有其他也将使用Spring安全的web应用程序 除此之外,我们还使用双因素身份验证 在进行了一些搜索之后,CA

人们是否在银行/金融服务项目上使用中央认证服务(CAS)?它是生产使用的可靠框架

更新:-

用户详细信息存储在Active Directory中,但与windows登录无关

我们有大约5个不同的相关web应用程序(单独的WAR),它们可能有普通用户。我们计划实现一个通用的web应用程序,该应用程序使用SpringSecurity处理登录机制。这个应用程序将把Spring安全上下文传递给所有其他也将使用Spring安全的web应用程序

除此之外,我们还使用双因素身份验证

在进行了一些搜索之后,CAS似乎有助于实现SSO(以及Spring Security),但我只是想确保它是否可以用于金融服务项目生产系统???

您通常在大型组织中使用SSO。它允许组织成员使用相同的凭据登录到任何内部应用程序,并在一个地方进行密码管理。但是在这个用例中,组织对CAS服务器拥有完全的控制权,并且可以对此充满信心。

我在德国的一家大公司工作(不是我个人资料中当前列出的公司),拥有300k+ePloyes。我们将CAS用于许多应用程序,但我们的主要策略是SAML。SAML的主要原因是“前端通道”——您可以通过浏览器可靠地传递断言

这在大型企业中具有巨大的优势,因为网络的某些部分通常都是防火墙,所以“后通道”解决方案(如CAS)并不总是有效

例如,使用SAML,您可以使用完全外部的服务,如Salesforce和您公司的SAML身份提供商。几乎是开箱即用

请注意,我对CAS的生产知识已有约4年的历史。我可能对CAS的“反向通道”有错误,请重新检查

好的,与您的问题更新相关的进一步见解很少

  • 我们也使用AD作为用户目录
  • 我们的身份提供者(基本上是您登录的地方)实现了x-factor身份验证(SMS和令牌服务)
  • 我们使用标准的SAML解决方案,我们不实现专有的东西
  • 很抱歉,我之前没有提到这一点-我不从事金融/银行业,但我们的应用程序具有非常广泛的安全要求
  • 我认识在金融部门使用CAS的人。然而,重要的不是主题领域,而是安全要求
  • 我过去在Spring Security方面有过积极的经验,但它不是当前公司的首选技术(更多的是JBoss)
CAS肯定是件好事,肯定会奏效。然而,失败的通常不是技术,而是你如何在上下文中使用它。如果你在这方面没有丰富的经验,那就找一个咨询或专业的pentest。太多的事情可能会“稍微做错”并导致严重后果

我在写这一切——我甚至不是一名安全专业人士,我是一名架构师,设计这些应用程序以满足(除其他外)安全需求。

注意,单点登录(SSO)有两种主要类型

我称之为“企业SSO”,它使用Mircosoft Active Directoy凭据,用户用来登录其工作站,还可以使用IE等浏览器的内置SSO功能访问其他资源,如网站。使用的底层协议是Kerberos或NTLMv2(也称为SPNEGO来协商Kerberos或NTLMv2)。这使得它成为真正的“单一”登录,因为用户在登录到工作站时只需输入一次密码。没有多少解决方案可以实现这种类型的SSO。显然,IWA打开的IIS就是其中之一

还有许多其他的网站解决方案,它们实际上将客户端重定向到另一个中心网站,该中心网站对客户端进行身份验证,然后使用某种令牌将客户端重定向回原始站点。这种类型的SSO通常在Internet上使用(如使用google凭据登录stackexchange),但在企业环境中也并非完全不常见。它在学术机构中很流行,学生可以使用他们能找到的任何计算机,并且一开始就不用域名证书登录

因此,在银行/金融机构这样的企业环境中,我的观点是“企业SSO”是最直接、因此也是最优越的解决方案。对于非企业SSO解决方案,身份验证步骤通常需要密码,因此它不是真正的SSO。您必须登录到工作站,然后登录到SSO中心网站,然后才能访问参与该特定SSO解决方案的任何站点。它需要运行一个额外的服务

但不要用谷歌搜索“企业SSO”,因为所有东西都以“企业”的名义进行营销。使用诸如“Kerberos”、“NTLMv2”、“Active Directory”等搜索术语与“SSO”和您的服务器编程环境配合使用。

我是CAS的主席和CAS in cloud()的创始人

CAS是一种web SSO,它支持Kerberos和SPNEGO。因此,是的,它也可以是企业SSO

CAS已准备好生产:对于一家大公司,我使用它为数百万用户和数百个网站服务

我不确定是否完全同意“后频道”/“前频道”的说法。SAML是联邦的标准,因此,如果您有两个拥有自己的SAML IdP的主要组织,您将能够联合身份。对于其他用例,我更喜欢更简单的CAS,它有一个拥有大量CAS客户端的大型社区。

非常感谢您提供的信息。请看我更新的问题。非常感谢提供有用的信息。我会去看看SAML。请看我更新的问题。