Single sign on 跨多个网站（不同域）的SSO选项

我正在研究在一系列网站上实现单点登录（我指的是针对单个共享身份存储进行身份验证的一组用户凭据）的选项

所有的网站名义上都属于同一个组织（因此我们可以假设它们之间存在信任关系），但托管在不同的域上，并跨越不同的技术-inc..NET、Java和PHP

我们正在将所有用户配置文件整合到一个后端CRM系统中，并且需要某种方式为所有当前（和未来）web属性提供对该系统的可靠访问

---

我们正在运行一个新的SAML提供程序，默认选项是在所有（当前）不受支持的属性中扩展对此的访问。这是最好的选择吗？所有有关SSO产品（CAS、CoSign等）的在线参考资料似乎都非常陈旧（2004+）。

看看Microsoft支持.NET的ADFS v2.0

有这样做的商业产品，如PingIdentity，也有开源产品，如OpenAM

这些产品都支持SAML

对于Java，将类似OpenAM的东西放在前面，或者使用OpenSSO/OpenAM fedlet

对于PHP，使用simpleSAMLphp

用于获取当前引用的关键字应该是“SAML联邦”

---

请参阅这里使用SAML协议非常有意义。如果你的公司决定这样做，它甚至可以让你与基于云的服务联合

SAML不要求使用具有公共DNS根的完全限定域名引用目标服务器（MS术语中称为“服务提供商”或“依赖方”）。它也是技术不可知的，因此服务提供商运行的HTTP堆栈实际上并不重要

我不确定后端CRM系统可以使用哪些接口，但LDAP或SQL连接通常用于获取身份声明信息和构建SAML响应

---

您可能希望研究的一些身份提供商产品包括Microsoft ADFS、PortalGuard（我为其工作）和Ping。

谢谢Gregg-我们认为扩展SAML的推出是有意义的，但是web上的SSO几乎没有最新版本，似乎它可能在无处不在的社交登录机制面前消亡了。很高兴知道它还活着。