他のサインインページなしのサードパーティシステムに対するSSOサポートの提供

Question

お客様のシステムのユーザーが別のログイン画面を表示せずにサインインできるようにする必要があるアプリケーションがあります。

お客様にSSOタイプのエクスペリエンスを提供する最良の方法は何ですか？私はAzure ACSとWindows Identity Frameworkを研究しようとしましたが、すべてのサイトで使用されるポップアップ/スクリーンの共通ログの考え方に基づいているようです。この連合アイデンティティシステムに別の側面がない限り、私はそれが私たちのために働くとは思わない。基本的に私たちの顧客は、自分のWebアプリケーション/ポータルにサインインして使用する学生がいる教育機関です。これらの顧客はアプリケーションへのアクセスを購入し、学生がポータルからリンクをクリックして自動的にシステムにログインできるようにします。

これらのシステムが完全に別のドメインで動作していることを知ることは重要です。いくつかのレガシーシステムでは、非常にカスタムのsso実装に単純なapiエンドポイントを提供するように顧客に依頼しています。私が探しているのは、SSOのより標準的なアプローチに関する情報です。

Answer 1

シンプルな秘密トークンハンドシェイクを使用して独自のSSOタイプシステムをロールバックする必要がありました。

Answer 2

SAML 2.0は、シングルサインオンの標準です。クライアントには、アプリケーションにSAMLコールを送信できるように、サイトに認証メカニズムが必要です。

Answer 3

生徒に署名するときには、ログインしている人のユーザー名を渡してアプリケーションにすばやく電話をかけてください。その代わりにトークンを生成し、ユーザー名とともにDBに格納し、それらにトークンを送信します。彼らはGET形式であなたのアプリへのリンクにそのトークンを追加し、トークンを「使い切って」（DBから取り除いて）そのアカウントにサインインします。

トークンを生成する際に、そのアプリケーションから許可されているクレジットを削除することもできます。