複数のドメインにわたるシングルサインオン[終了]

当社には複数のドメインが設定されており、それぞれのドメインでホストされている1つのウェブサイトを使用しています。現時点では、各ドメインには、Cookieを介して行われる独自の認証があります。

あるドメインにログオンしたユーザーが別のドメインの何かにアクセスする必要がある場合、ユーザーは他のドメインにある他のWebサイトで別の資格情報を使用して再度ログインする必要があります。

この手間を省くことができるように、シングルサインオン（SSO）に移行することを考えていました。私はこの点についての経験がありませんので、これがどのように達成されるかについてのアイデアをいただければ幸いです。

ありがとう。

編集： Webサイトは、インターネット（外部）とイントラネット（社内で使用）のサイトが混在しています。

ここで実装したSSOソリューションは次のように機能します。

1. ログインを管理するスクリプトmaster_login.phpを備えたマスタードメインlogin.mydomain.comがあります。
2. 各クライアントドメインには、スクリプトclient_login.phpがあります。
3. すべてのドメインに共有ユーザーセッションデータベースがあります。
4. クライアントドメインがユーザーのログインを要求すると、マスタードメイン（login.mydomain.com/master_login.php）にリダイレクトされます。ユーザーがマスターにサインインしていない場合は、ユーザーに認証を要求します（ログインページを表示するなど）。ユーザーが認証されると、データベースにセッションが作成されます。ユーザーがすでに認証されている場合は、データベースでセッションIDを検索します。
5. マスタードメインは、セッションIDを渡してクライアントドメイン（client.mydomain.com/client_login.php）に戻ります。
6. クライアントドメインは、マスターからのセッションIDを格納するCookieを作成します。クライアントは、セッションIDを使用して共有データベースを照会することにより、ログインしているユーザーを見つけることができます。

ノート：

• セッションIDは、RFC 4122のアルゴリズムで生成された一意のグローバル識別子です。
• master_login.phpは、ホワイトリストのドメインにのみリダイレクトします
• マスターとクライアントは、異なるトップレベルドメインに配置できます。例えば。client1.abc.com、client2.xyz.com、login.mydomain.com

車輪を再発明しないでください。JOSSO、OpenSSO、CAS、Shibbolethなど、多くのオープンソースのクロスドメインSSOパッケージがあります。（IIS、AD）全体でMicrosoftテクノロジを使用している場合は、代わりにMicrosoftフェデレーション（ADFS）を使用できます。

ホスト名はどのように異なりますか？

これらのホストはCookieを共有できます。

• mail.xyz.com
• www.xyz.com
• logon.xyz.com

しかし、これらはできません：

• abc.com
• xyz.com
• www.tre.com

前者の場合は、Cookieベースのソリューションを使用できます。GUIDとデータベースセッションテーブルを考えてください。

Active Directoryを使用している場合、各アプリで認証にADを使用でき、ログインはシームレスになります。

それ以外の場合、アプリケーションがバックグラウンドで相互に通信できる場合は、セッションIDを使用して、他のすべてのアプリケーションにサービスを提供するID生成を処理する1つのアプリを用意できます。