Supponiamo di avere 3 siti in cui voglio avere SSO, site1.com, site2.com e auth.com. SSL è sempre richiesto.
In base a come cookie SiteMinder sono descritti qui , uno di quei domini sarebbe il dominio "master cookie" associato e altri reindirizzano a quel dominio in caso di errore di autenticazione.
Come funzionano attualmente le cose
-
Per impedire il clickjacking, la pagina di accesso per auth.com ha lo script NoFrames e uno script di frame buster implementato per i browser più vecchi.
-
Dopo che il client si collega a site1.com o site2.com, AJAX esegue un kicking e fa alcune operazioni (polling, ecc.). Durante questo periodo, Javascript potrebbe ricevere un errore nel dire che la sessione non è valida. Questo errore si verifica durante l'utilizzo di AJAX. (se si è verificato durante la navigazione, ci sarebbe un reindirizzamento e questa intera domanda non si applica)
-
A questo punto posso aggiornare la pagina e reindirizzare o dire all'utente di effettuare nuovamente il login su auth.com, ma poi perdo lo stato dell'applicazione in memoria.
Un nuovo approccio / seamless per l'utente finale
Come soluzione temporanea, sto pensando di utilizzare Javascript per creare un iFrame in auth.com/RefreshOnly (iFrames okay) POSTing i miei dati di sessione. Auth.com/RefreshOnly vedrà il cookie per il suo dominio e, se lo desidera, reindirizza alla mia origine site1.com , istruendolo per aggiornare il mio cookie corrente .... tutto all'interno di un iFrame nascosto.
Domanda
È consentito l'uso limitato di iFrame in un provider di IDP / autenticazione? (non esclusivo per Siteminder)