我们有多个内部网站点,托管在Web逻辑服务器中,每个站点都有自己的身份验证框架 . 现在我们有了一个新的请求来实现单点登录 . 还有另一个团队正在与活动目录进行通信[传递域名和用户名如phillip_r,它将返回主电子邮件等],我如何利用,我读了几篇关于CAS,Kerbos等的文章,现在我更加困惑我需要在我的情况下实施它们,请帮助我,因为我不知道从哪里开始 .
WebLogic不是“kerberized”,因此您无法实际使用Kerberos . 但是,您可以使用WebLogic的SPNEGO处理程序从用户角度提供“自动登录”,这就像“单点登录”,但实际上它只是“自动登录” . 通过SPNEGO提供的Kerberos令牌通常具有'userpricipalname @ REALM'...可以是电子邮件地址,但大多数情况下它不是电子邮件 . 它不会从AD返回任意属性...您必须自己拥有(例如通过LDAP) .
但是,通过HTTP的Kerberos(SPNEGO)仅适用于企业客户端,企业客户端可以直接与密钥分发中心(AD KDC)通信 .
CAS或OpenAM(http://openam.forgerock.org)是基于Web的基于Java的单点登录系统,提供不同的身份验证方法 .
只要所有应用程序都在Weblogic上并且所有用户都在AD域中,您就可以对所有这些应用程序使用Kerberos SSO,而不需要CAS . 使用Oracle的说明进行设置 .
2 回答
WebLogic不是“kerberized”,因此您无法实际使用Kerberos . 但是,您可以使用WebLogic的SPNEGO处理程序从用户角度提供“自动登录”,这就像“单点登录”,但实际上它只是“自动登录” . 通过SPNEGO提供的Kerberos令牌通常具有'userpricipalname @ REALM'...可以是电子邮件地址,但大多数情况下它不是电子邮件 . 它不会从AD返回任意属性...您必须自己拥有(例如通过LDAP) .
但是,通过HTTP的Kerberos(SPNEGO)仅适用于企业客户端,企业客户端可以直接与密钥分发中心(AD KDC)通信 .
CAS或OpenAM(http://openam.forgerock.org)是基于Web的基于Java的单点登录系统,提供不同的身份验证方法 .
只要所有应用程序都在Weblogic上并且所有用户都在AD域中,您就可以对所有这些应用程序使用Kerberos SSO,而不需要CAS . 使用Oracle的说明进行设置 .