買収により、認証と承認を必要とする多くの製品があります。製品にはWebサイトとクライアント側アプリケーションが含まれ、クライアント側アプリケーションにはいくつかのWebサービスが使用されます。私たちは.Netショップであり、サーバーはServer 2008を実行し、クライアントはXP SPを実行しますか?以降。製品のKerberosを使用してWebサイトやWebサービスを認証するのは良い考えですか?
ユーザーが我々の組織の一部ではなく、Active Directoryを実行している組織内のユーザーに、スタンドアロンのPCと単一のユーザから実行など
現在、そこには共通の認証やアイデンティティストアがありませんし、我々がしようとしていますそれを救済する。私たちの目標は以下の通りです。
- すべての製品で単一のユーザー名とパスワード(または証明書)。
- 理想的にはシングルサインオン(クライアントアプリケーションからWebサイトを起動すると簡単です。ユーザーがWebサイトに最初にログオンした後にクライアント側のアプリケーションを起動する場合は、おそらくそれほどありません)。
- プラス通常の;堅牢でスケーラブルな...
ほとんどの企業と同様に、限られたリソースと厳しいスケジュールがあります。
認証のための1つの推奨されるパスは、クライアントアプリケーションがWebサービスを認証するための理想的なルートであるKerberosですが、ユーザー名とパスワードを送信するWebサイトウェブサーバーは発券(チケットをクッキーに保管する)の責任を負います。私は、単一のIDストアと、ユーザー名とパスワードを取得し、ソートされたハッシュと比較し、カスタムの時間ベースのセキュリティトークンを発行する独自の認証サービスを使用する方が良いと感じています。多分SqlMembershipProviderを使用しますか?
これまでに読んだ人のおかげです。 Kerberosはこのシナリオに最も適していますか、他の場所で探しているべきですか?それは良いフィットではない場合、なぜですか?
我々はまた、承認にAD LDSを見ているが、私はこのポストはすでに...
極端な場合は、双方向SSLを実装して、すべてのユーザーに秘密の証明書を発行することができます。ユーザーが名前/パスワード認証を必要とせず(ブラウザがサーバーに資格情報を提供するだけで済みます)、これが可能な最も安全な方法です。 – Cuga
私はOpenIDとcertsの両方が好きですが、私たちがOpenIDに行った場合、私たち自身のOpenIDサーバーが必要なのではないかと推測しています。リソース/時間/予算がないと思います。独自の証明書を発行する場合も同様です。 私たちの業界には、ユーザーに無償で証明書を発行し、初期認証などの責任を負う証明書プロバイダーがありますが、最後に見たときにユーザー証明書を認証するためのコストは、それら。 –
いずれにせよ、私が現時点で持っている問題は、最初の選択がウェブサイト上で不快なケルベロスのようだということです。しかし、私はKerberosの全面的な利点を得ることができず、Webサイト認証のための「匂い」もないのではなく、それを使用することに反対するいかなる議論もマーシャルできません。いずれも良い議論にはならない。 Kerberosが正しい解決策である可能性があります。知識が不足しているため、Kerberosが適切な解決策ではないと感じています。 –