2012-02-20 5 views
5

Siamo in un ambiente di autenticazione complesso e dobbiamo supportare l'autenticazione con un numero di fonti disparate nelle applicazioni che stiamo sviluppando. Dal momento che non vogliamo duplicare il codice di autenticazione ovunque, stiamo esaminando il wrapping delle varie fonti di autenticazione con un singolo provider OpenID, e quindi il fatto che tutte le applicazioni dipendano da quel servizio.Un provider OpenID può utilizzare Kerberos o altri meccanismi di autenticazione "alternativi"?

Le fonti che abbiamo per consentire l'autenticazione contro sono cose come Active Directory nome utente/password, Kerberos, LDAP generica, i fornitori di OpenID esterni, ecc

Per esempio, nel caso di Kerberos, quando l'utente preme l'OpenID la pagina di autenticazione del provider, se (s) può essere autenticato con Kerberos e ha già dato il permesso all'app richiedente, l'utente verrebbe autenticato in modo trasparente come se fosse stata immessa una password e restituita all'app richiedente.

Quindi, la domanda è, possiamo creare un provider OpenID che gestisce l'autenticazione attraverso tutti questi vari metodi? Il fornitore deve implementare in che modo autentica gli utenti in un modo specifico?

+0

Questo è un caso d'uso interessante. In che modo il tuo team pianifica di gestire il caso in cui esiste un'identità di autenticazione in più back-end? –

+0

@TerryGardner, l'utente, in tal caso, verrà presentato con l'opzione di autenticare con qualsiasi metodo desiderino. Il provider OpenID potrebbe, in teoria, connettere le identità da diverse fonti, in modo che il servizio possa auto-autenticarsi se possibile e ricorrere a un metodo di autenticazione manuale, se necessario. Per esempio. provare prima Kerberos e quindi tornare a una coppia nome utente/password di Active Directory. Dal punto di vista dell'applicazione richiedente, è solo un provider OpenID, che mantiene le cose belle e semplici, spingendo tutta la complessità dell'autenticità al servizio di autenticazione wrapping. – cdeszaq

+0

Capisco. In tal caso, non capisco la domanda. Hai letto e comprendi le specifiche [OpenID] (http://openid.net/specs/openid-authentication-2_0.html)? –

risposta

1

Le specifiche OpenID 2.0 non specificano come autenticare gli utenti presso il provider OpenID, poiché sono specifiche del fornitore. Quindi la mia risposta è Sì, puoi avere un provider OpenID che gestisce l'autenticazione attraverso tutti questi metodi ma devi capire come, a titolo di esempio, come presentare i ticket Kerberos al provider OpenID dipende da te decidere.

+0

C'è qualcosa nel flusso di autenticazione OpenID che potrebbe entrare in conflitto con uno schema di autenticazione Kerberos tra l'utente e l'applicazione del provider OpenID? – cdeszaq

+0

No, il modo in cui si autentica l'utente presso il provider OpenID non è in conflitto con il protocollo di autenticazione OpenID. – SureshAtt