Single sign on SiteMinder无需在web应用程序服务器上安装代理即可单点登录

我们的IT员工拒绝在我们的应用程序的IIS 6.0 web服务器上安装SiteMinder代理，理由是它是第三方软件，存在安全问题，而且资源利用率高可能会影响应用程序性能

他们建议我们建立一个独立的、隔离的web服务器，只包含一个基本的IIS、SiteMinder代理和一个“垫片”来验证登录尝试

此垫片将是标记为受代理保护的单个ASPX页面。它将使用SiteMinder代理验证用户ID，在应用程序的数据库中查找用户ID，并将用户ID和密码返回到用户的浏览器。然后，JavaScript函数会将用户ID和密码发布到应用程序的现有登录页面，就好像他们自己键入了一样

他们的担心有理由吗？为什么

您听说过有人实现类似的体系结构吗

---

他们提出的解决方案是好的、坏的还是难看的？

它看起来不起作用，因为代理不仅管理初始登录，还管理对应用程序的后续调用，即经过身份验证的会话。代理检查cookie，验证cookie，等等。您的场景没有描述这将如何发生

在我们的环境中，所有internet流量在到达IIS之前都要通过Apache反向代理。IIS在防火墙后面。Apache反向代理拥有SM代理，它所做的只是将流量重定向到IIS。我认为用IIS作为反向代理进行类似的设置是可行的

---

顺便说一句，告诉你的IT人员，他提出的小本经营和泡泡糖登录解决方案比在IIS上安装SiteMinder要安全得多。

apache反向代理解决方案肯定会工作，但在SiteMinder r12.51中，包含了安全代理服务器，这基本上是SiteMinder版本的反向代理（还有更多）

SPS将允许您将单个服务器配置为所有无法或不会安装SiteMinder代理的应用程序的“网关”。web代理嵌入在SPS中，一个专有Java应用程序完成了繁重的工作。SPS还有一个GUI，它遵循r12 WAMUI的外观，这使得配置非常简单

---

安全代理服务器还具有联合网关功能，因此，如果您正在执行SAML联合，则无需安装web代理选项包。您的所有fcc页面也可以由SPS提供服务，因此您可以减少支持SSO环境所需的web服务器数。

我知道，对吗？感谢您的回复；这正是您的答案。

关于我需要的有偏见的第三方意见，尽管我希望您也提到将应用程序的id/密码发送回客户端的想法的安全问题。（！！！）在他们的场景中，会话由应用程序内置的id/密码身份验证处理，SSO只知道一个受保护的资源：“垫片”这会向用户发送他们的应用程序密码。“鞋带和泡泡糖”，lol.Classic。