nicht angemeldet
Hi Matze,
Kenn jemand von euch einen SSO Mechanisumu, der das einloggen auf mehere Webapplikationen erlaubt?
Hintergrund hierfür ist, das im Intranet mehrere Appserver in Betrtieb sind und hierfür ein SSO realisiert werden soll.
hm. Ich sehe da prinzipielle architektonische Probleme - und zwei Möglichkeiten.
a) Die einzelnen Applikationen haben nichts miteinander zu tun.
Dann wüßte ich nicht, wieso irgend jemand sicherstellen können sollte, daß deren Datenbestand so geartet ist, daß ein gemeinsames Login überhaupt möglich (und sinnvoll) ist.
b) Die einzelnen Applikationen gehören zu einer "Familie".
Dann würde es sich anbieten, die Authentifizierung aus den Applikationen in einen separaten Dienst auszulagern. Hier kenne ich mich nicht aus, würde aber - auf Verdacht - LDAP als etwas ansehen, was einen Anspruch erheben könnte, der in Deine Richtung geht.
- Zentralle Sessio wird erzugt, welche eine Anmeldung garantiert und entsprechen gehandhabt wird.
Das wäre die Richtung, die ich mit b) verfolgen würde.
- Wird durch die Relpizierung der Login Daten sowie der Sessions eine nicht unerhebliche Last erzeugt. Sprich die Rechner haben je nach Benutzeranzahl ordentlich daran zu arbeiten die Daten auf alle Server zu replizieren.
Nicht, wenn die Login-Daten außerhalb der Applikationen verwaltet werden.
- Wenn der Benutzer das Fenster wieder schlisst muss er sich wieder anmelden.
Dann sollte ggf. schon die Anmeldung von diesem Fenster entkoppelt werden.
Nachteil die Benutzer Login infos werden übers Netz übertrage und könnten abgefragt werden.
Verschlüsselung?
Der 3. Versuch war ein Cookie zu implementieren.
Dsa hilft nur dann, wenn Deine Applikationen zu einem gemeinsamen Domain-Baum gehören.
Außerdem kannst Du dann Mehrfach-Login nicht sinnvoll verhindern, wenn es keine zentrale Vergabestelle für dieses Cookie gibt.
Nachteil wenn das Cookie noch aktiv ist und sich ein anderer Benutzer am Rechner befindet, kommt er mit dem anderen Account auf die Anwendungen sollte ebenfalls nicht sein.
Eben - auch für Logout ist Cookie keine überragende Lösung, weil er explizit gelöscht werden muß. (Dann lieber ein Session-Konzept mit Timeout.)
Viele Grüße
Michael
P.S.: Schöne Frage.
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.