タグ付けされた質問 「single-sign-on」

シングルサインオンは、単一のログインを複数のアプリケーションや環境で透過的に使用できるようにするテクノロジーです。

4
ユーザーがイントラネットWebアプリに透過的にログインすることにより、Active DirectoryでのSSOはどのように機能しますか?
ログインを必要としないWebアプリケーションを作成できると言われています。ユーザーはWindowsにログインし、WindowsはActive Directory(LDAP)ルックアップを介して認証します。そうすれば、彼らは私のwebappにアクセスでき、ログインプロンプトが表示されないはずです。これらの顧客は、これをシングルサインオンと呼んでいます(おそらく間違っており、私の混乱の一部です)。 しかし、Tomcat DocsからSingle Sign Onを読んだのは次のとおりです。 シングルサインオンバルブは、仮想ホストに関連付けられたWebアプリケーションのいずれかにユーザーがサインオンし、同じ仮想ホスト上の他のすべてのWebアプリケーションでそのIDを認識できるようにする場合に使用します。 これは私には完全に明らかです。ユーザーは1回ログインする必要があり、tomcatのインスタンス上のすべてのwebappにアクセスできます。しかし、私がやらなければならないことは、なんらかの形でTomcatサーバーに資格情報を提供せずにログインさせることです。 だから、これが機能するために私は想像する: ユーザーがページをリクエストします サーバーはセッショントークンを認識せず、クライアントに資格情報を要求します。 ユーザーの介入なしのクライアントブラウザは、サーバーに資格情報を提供します。 次に、クライアントブラウザによって提供されたこれらの資格情報を使用して、LDAPでルックアップを実行します。 私は、クライアント側の証明書...このような場合にあなたがいるので、私にいくつかの理にかなって、特に国防総省PKIシステムを使用いくつかの例を見てきた要求クライアント側の本命にTomcatを設定し、私はどのようにこれを見ていない窓に、ちょうどログインを動作し、ブラウザがサーバーに渡す情報など。これはNTLMの使用目的ですか?

6
Google Chrome:パススルーWindows認証
IT部門では、100以上のデスクトップへのGoogle Chromeブラウザーのインストールと自動展開を許可することを検討しています。要件の1つは、ドメイン資格情報がパススルーされることです。望ましい動作は、Internet Explorerと同じです。 イントラネットリソースを参照するときに問題が発生しました。Active Directory認証を必要とするイントラネットサイトには、[認証が必要]ダイアログが表示されます。 サイトごとに、ドメイン資格情報を入力する必要があります。 質問:Google Chromeは現在、またはパススルーWindows認証をサポートする予定ですか?その場合、このセキュリティ設定をどのように構成しますか?

5
LinuxサーバーをADに対して認証することはどれほど実用的ですか?
ソフトウェア開発会社でWindowsサーバーとLinuxサーバーの両方を利用しています。 このセットアップの問題点の1つは、シングルサインオンソリューションがないことです。ADに対して認証したいLinuxショップよりもマイクロソフトのショップであること。 オンラインでいくつかの記事を読みましたが、これが可能であることを理解しています。 現在、認証が必要なLinuxで次のサービスを使用しています。 -gitサーバー(SSH経由) -Sendmail- 現在.htaccessファイルを使用しているApache Webサーバー。 -SAMBAファイル共有 私が知りたいのは、この種のセットアップがどれほど実用的かということです。それは本当に機能しますか、それともエラーを起こしやすいですか?

3
nginx内でSAML認証を使用する
既存のSAML 2.0 IdPを使用して、nginxを使用して提供される静的コンテンツへのアクセスを制限したい。(アパッチでは、これは、このようなモジュールを用いて行われるであろうmod_mellon又はmod_auth_saml) nginxの静的コンテンツにSAML認証を使用する最良の方法は何ですか?それでもX-Accelヘッダーを使用している場合、SAML認証からプロキシするヘルパースクリプトがありますか、これのためにゼロから開始する必要がありますか?

7
Google Apps、ADおよびSSO
私たちは、メールのニーズに合わせてGoogle Apps(Enterprise)を実行している小さな店です。大好きです。内部的には、Windows AD(2003)を使用しています。苦情もありません。 ADとGoogle Appsの間でSSOを行う方法を取得して、ADがパスワードを管理(および定期的に変更)する必要がある唯一の場所にするようにします。 私は過去にグーグルの「tfm」を見てきましたが、私はそれをまったく理解していないと思います。誰もこれをしていますか?もしそうなら、あなたはどのように共有したいと思いますか?膨大な複雑さと費用をかけずにそれを行うことができますか?

4
Active DirectoryのマスターレコードとしてOffice365またはAzure ADを使用できますか?
私たちは中小企業であり、現在、オフィス内にドメインは必要ありません。基本的なネットワークと、Windows Server 2008 R2を実行する単一のサーバーと、いくつかのファイル共有とサードパーティアプリがあります。 Office 365を使用し、Windows Azureサブスクリプションを持っています。2つは、組織のActive Directoryの同期をかなりうまく維持しているようです。(つまり、データは両方のシステムで同じに見えます) アプリサーバーで実行するサードパーティアプリはすべて、アイデンティティプロバイダーとしてLDAPをサポートしていますが、ドメインを実行しないため、各ユーザーにこれらのサービスの新しいログイン/パスワードを作成させる必要があります。 このサーバーをAzure / Office 365から同期し、ユーザーがOffice365資格情報を使用して認証できるようにすることが理想です。 FROMオンプレミスをAzureに同期することに関する話を見つけましたが、FROM Azure / Office 365をオンプレミスサーバーに同期したいのです。オンプレミスサーバーは、Office 365ディレクトリのフェデレーションIDプロバイダーになると思います... これは可能ですか、またはAzureまたはOffice 365のIDをフェデレートできるサードパーティのLDAPプロバイダーが必要ですか?

3
Apache mod_auth_kerbおよびLDAPユーザーグループ
mod_auth_kerbSSOを有効にするために、社内Webサーバーに展開することを検討しています。私が見ることができる1つの明らかな問題は、すべてのドメインユーザーがサイトにアクセスできるかどうかにかかわらず、オールオアナッシングアプローチであることです。 LDAPの特定のグループのグループメンバーシップを確認するmod_auth_kerbようなものと組み合わせることができmod_authnz_ldapますか?私はKrbAuthoritativeオプションがこれと何か関係があると推測していますか? また、私が理解しているように、モジュールはユーザー名をusername@REALM認証後に設定しますが、もちろんディレクトリにはユーザーはユーザー名のみとして保存されます。さらに、tracなどの一部の内部サイトには、各ユーザー名にリンクされたユーザープロファイルが既にあります。これを解決する方法はありますか、おそらく認証後に何らかの方法で領域ビットを削除することによってですか?

4
Kerberos SSOを使用したApache Bad Request「リクエストヘッダーフィールドのサイズがサーバーの制限を超えています」
Apache(SLES 11.1のApache2)で実行されるWebサイトを介してActive DirectoryユーザーのSSOを設定しています。Firefoxでテストすると、すべて正常に動作します。しかし、Internet Explorer 8(Windows 7)でWebサイトを開こうとすると、 "要求の形式が正しくありません お使いのブラウザが、このサーバーが理解できないリクエストを送信しました。 リクエストヘッダーフィールドのサイズがサーバーの制限を超えています。 承認:交渉[超長い文字列] " 私のvhost.cfgは次のようになります。 <VirtualHost hostname:443> LimitRequestFieldSize 32760 LimitRequestLine 32760 LogLevel debug <Directory "/data/pwtool/sec-data/adbauth"> AuthName "Please login with your AD-credentials (Windows Account)" AuthType Kerberos KrbMethodNegotiate on KrbAuthRealms REALM.TLD KrbServiceName HTTP/hostname Krb5Keytab /data/pwtool/conf/http_hostname.krb5.keytab KrbMethodK5Passwd on KrbLocalUserMapping on Order allow,deny Allow from all </Directory> …

7
LinuxサーバーをWindowsマシンのドメインコントローラーとして使用できますか?
小規模オフィスのセットアップ(従業員数5〜6人)では、7台のWindows XPおよびWindows Vistaクライアントと、2台のLinuxサーバーがあります。 Linuxマシンをドメインコントローラとして設定して、ネットワークにシングルサインオンとADのような機能を提供することは可能ですか?

3
ADFSは他のSSOサービスに接続できますか?
私のローカルADFSサーバー(企業のADサーバーに接続されている)に接続されている.netアプリケーションがあり、すべてが正常に動作しています。私の質問は、ADFSがAzure AD、AWS、Googleログイン、Facebook、Twitter、OpenIDなどのインターネット上の追加のSSOサービスへの信頼できる接続を確立して、アプリケーションが私の以外の複数の信頼できるソースからの要求を使用できるようにすることですディレクトリをアクティブにしますか?

2
多くのオープンソースツールを統合するために、LDAPを使用したシングルサインオンは現在も推奨されていますか?
私たちは、公共機関と一緒に、さまざまなオープンソースツールをインストールして実験し、彼らに最も適したものを確認する演習を進めています。 したがって、インストールしています: wiki(dokuwiki) メディアゴブリン GNUソーシャル イーサパッド ethercalc そしておそらくもっと。 ログインを調和させるためにLDAPを使用することを考えていました。 しかし、多くの場合、LDAPプラグインはもう維持されていないと思われ、設定がうまく機能しにくく、一部のツールではLDAPドキュメントが不十分です。 LDAPを介してこれを行うことは、今日でも良い考えですか?OAuthはより良い選択でしょうか? これはコードの問題ではないことはわかっていますが、LDAPに移行するという決定に固執する必要があるかどうか、または他のパスを検討する必要があるかどうかを理解したいと思います。どうもありがとう

1
AD FS 2.0サービスプロバイダーのSAMLアサーションコンシューマーURLとは
SSO認証を使用するようにサービスプロバイダーを設定しています。これにはAD FS 2.0を使用します。 IdPに提供する必要があるSAMLアサーションコンシューマのURLは何ですか? 私はそれが次のようなものかもしれないと思います: https://abc.com/adfs/ls/ https://abc.com/_trust/ 確信はないけど。何か案は?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.