Google Apps Premium Edition：使用哪种身份验证机制？

Question

我们公司有一个仅供我们员工内部使用的网络应用程序。我们还有 Google Apps 专业版。我们希望我们的员工可以使用他们已有的 Google Apps 帐户登录我们的私人网络应用程序。

要求：我们想要显示我们自己的登录表单。我们不想通过互联网以纯文本形式传递电子邮件/密码。

我们应该使用哪种身份验证机制来实现这一目标？

注意：我们的应用程序是使用 Zend Framework 用 PHP 编写的（如果有的话）。

Answer 1

我会研究 OpenID 和您的域用户的某种组合（即只让domain.com 上的用户可以登录）。

Google API

他们还提供适用于 PHP 和其他语言的库杠杆来实现这一目标。

编辑：

一些更多信息< /a>

Answer 2

当谈到集成 Google Apps 和内部使用的私有系统时，我们只有两个选择。

1. 使用Google作为认证中心。修改私有系统以在 Google 服务器上进行身份验证。我们可以使用 OpenID 或 AuthSub。检查 http://code.google.com/apis/accounts/docs/OpenID .html 和 http://code.google.com/apis /accounts/docs/AuthSub.html 了解更多信息。
2. 使用私有系统作为认证中心。在这种情况下，我们必须在专用服务器中实施 SAML 协议并配置 Google Apps 的 SSO 设置。检查 http://code.google.com/googleapps/domain/sso/saml_reference_implementation .html 了解更多信息。

使用第一种方法更容易完成 SSO，因为已经有一堆 OpenID 库了。但是，正如您在要求中所描述的，您希望使用自己的登录表单。所以我想你必须采用第二种方法。

顺便说一句，如果您的私有系统必须从 Google 获取或设置信息，您可能需要使用 OAuth 进行授权。请参阅 http://code.google.com/apis/accounts/docs/OAuth .html 了解更多信息。

Answer 3

使用 ClientLogin API，它完全可以满足您的需求：允许您验证用户名和密码。 （该链接转到配置 API doco，但这与此处无关）

优点：

• 您可以使用自己的登录表单

缺点：

• 您无法通过 Google Apps 获得 SSO，即系统会提示已经在 Apps 中的用户再次登录（您没有提到作为一个要求，但这似乎是一个合理的事情）
• 谷歌不会喜欢你（他们试图阻止ProgrammaticLogin。
• 你会偶尔得到验证码测试，你需要向你的用户展示。

特别是OpenID阻止您显示自己的登录页面，因此如果这是一个硬性要求，那么编程登录确实是您唯一的选择，

采用 SSO 路线可以让您执行几乎所有操作，但对整个域进行身份验证可能有点过分了 。让一个应用程序以更好的方式进行身份验证？如果您确实想走这条路，请查看 SimpleSAMLphp。