企业 SSO 和身份管理/建议

Question

我们之前讨论过 SSO。考虑到最近的新发展，我想根据明确的要求重新加强对话。

在过去的一周中，我一直在进行市场研究，寻找以下关键问题的答案：

该项目应该是：

要求

• Web 应用程序的 SSO 解决方案。
• 集成到现有开发的产品中。
• 具有基于策略的密码安全性（长度、复杂性、持续时间等）
• 安全策略可以使用 Web 界面进行管理。
• 可定制的用户界面（密码提示和公司屏幕）。
• 高可用性 (99.9%)
• 可扩展。
• 在红帽 Linux 上运行。

很高兴拥有

• 包含用户组和角色。
• 用Java编写。
• 自由软件（开源）解决方案。

到目前为止提出的解决方案都不是“杀手级选择”，这让我认为我将使用多个项目（OWASP、AcegiSecurity + X??），因此进行了这次讨论。

我们是提供前端和应用程序的 ISV后端应用程序套件。前端被分成几个模块，这些模块应该充当自治单元，从客户端的角度来看，他使用“应用程序”——这导致了重新分级 SSO 的讨论。

我很感激人们分享他们的经验和关于适当解决方案的想法。

有些解决方案很有趣

• CAS
• Sun OpenSSO Enterprise
• JBoss Identity IDM
• JOSSO
• Tivoli Access Manager for Enterprise Single Sign-On

或者更一般地说 此列表

谢谢， 格言。

Answer 1

FreeIPA 怎么样？

“FreeIPA 是一个集成的安全信息管理解决方案，结合了 Linux (Fedora)、389（以前称为 Fedora Directory Server）、MIT Kerberos、NTP、DNS。它由 Web 界面和命令行管理工具组成。”

如果您专注于 Web 应用程序，请查看 http://oauth.net/。

Answer 2

CAS 拥有强大的采用率、用户基础和强大的领导力（他最近换了工作，但仍然致力于该项目）。它易于集成（如果您习惯于编写 Java 代码/配置 Spring beans），并且可以满足您的所有要求，特别是：

Web 应用程序的 SSO 解决方案。

是

集成到现有开发的产品中。

是（虽然有些比其他产品更干净 - 但许多模块可用于主要产品，并且它支持通用标准（SAML、OpenID）。

具有基于策略的密码安全性（长度、复杂性、持续时间等）

*是 - 可以轻松实现，并且支持一些与 LDAP（可能是最常见的用户存储）集成的扩展

可以使用 Web 界面管理安全策略。不

- 虽然可以相当简单地构建 - 如果您对开发感到满意，并且考虑到这可能是一个不平凡的项目，我建议考虑将其视为非阻塞程序，因为该产品是开源的

可自定义的用户界面（密码提示和相关屏幕）。

是 - 通过一些基本的 HTML/CSS 编辑轻松自定义

高度可用 (99.9%)

是 -既可靠，又可以轻松支持多个节点/故障转移场景

可扩展。

是 - 用于许多高流量环境，包括内联网和互联网

在 Red Hat Linux 上运行。

是

Answer 3

Oracle Enterprise Single Sign-On 不是您想要的 - 它需要部署 Windows 可执行文件。 Oracle Access Manager 更接近您的需求之后（尽管它不是免费的或基于 Java 的）。

Answer 4

身份和访问管理 (IAM) 市场领域的主要商业参与者包括 CA、Oracle、IBM、Sun 和 Novell。这些都不是免费的解决方案，但它们具有您正在寻找的许多功能。

对于免费软件，我推荐DACS：分布式访问控制系统。我知道我工作的一个部门已经在这一方面取得了巨大成功。它没有商业 IAM 产品那么多的功能，但在其他方面是一个很好的解决方案。

Answer 5

我使用了支持 Websphere 和 IIS 的 Tivoli Access Manager - 它将访问信息写入页眉的方式非常有用。不利的一面是，我没有发现 DB2 Ldap 后端具有很强的可扩展性或可靠性，而且您知道，对于 IBM，这不会便宜。

此外，用于识别不同服务器的异步路径（连接点）确实有点麻烦，例如 http://mysite/myserver/ myapp - 一个非常糟糕的主意，没有经过深思熟虑。