Un unico punto di accesso per diverse applicazioni

2

Mi è stato chiesto di creare una pagina web da cui gli utenti possano accedere a molte altre applicazioni create usando i form di Oracle e jsf, questo includerà anche sso. Non riesco a pensare a un modo semplice per farlo, quello che stavo pensando era che l'utente dovrebbe registrarsi e inserire tutti i suoi nomi utente / password per ogni applicazione, dopo di che si occuperà solo del nome utente / password che ha creato per questa pagina.

Quello che volevo chiedere era se questa è una buona idea o c'è un modo migliore per affrontarlo?

    
posta OKAN 23.02.2011 - 17:18
fonte

3 risposte

4

Non fai la tua idea!

See Is an 'if password == XXXXXXX' enough for minimum security? for some basic password advice for applications. In virtually all cases, a password should be hashed so that the value cannot be retrieved.

Importante: se continui con la tua idea, hai appena memorizzato le password recuperabili per diverse applicazioni in un unico posto , che è molto, molto peggio che violare il principio di recuperabilità per l'applicazione one . Quindi, anche se tali applicazioni hanno implementato buone pratiche di sicurezza, questa fase di intercettazione li infrange tutti.

Single sign-on viene solitamente implementato attraverso un metodo di condivisione di un token di autenticazione (potrebbe essere usato dove ogni applicazione è prodotta dallo stesso fornitore, condividendo campi di database simili e potendo autenticare la validità di tale token) o un singolo server di autenticazione ( OpenId ) o uno degli altri mezzi elencati in quell'articolo.

È always molto complicato e richiede comprensione molto avanzata di questo argomento e della sicurezza in generale.

Quindi, la tua prima impressione era corretta: se è coinvolto SSO , non esiste un modo "facile" per farlo. Il requisito SSO rende questo progetto come se fosse al di là dei tuoi mezzi attuali, specialmente se ti venisse chiesto di "creare una pagina web" che offra SSO.

  1. Una singola pagina web con collegamenti a diverse applicazioni è ovviamente banale e ti suggerisco di completarla come primo passo.
  2. Successivamente, ti suggerirei ricerca SSO , capire in che modo si riferisce alle tue applicazioni e riportarle al tuo responsabile.
  3. Se il tuo manager desidera continuare, guarderei i prodotti SSO esistenti. Costruire una soluzione interna sicura è probabilmente più di quanto tu voglia assumere. Se decidi di costruirlo internamente, apprendi.
risposta data 23.02.2011 - 18:09
fonte
0

Mi sembra che ti venga chiesto di ricreare alcune delle funzionalità di Oracle Access Manager che è una soluzione WSSO disponibile in commercio che potrebbe essere o non essere applicabile qui.

    
risposta data 23.02.2011 - 17:26
fonte
0

Consiglio vivamente di consultare soluzioni SSO standard come Atlassian Crowd ($ 10 per un massimo di 50 utenti) o Oracle Access Manager. Forse fai in modo che le applicazioni utilizzino OpenID in modo che tu non sia responsabile dell'autenticazione, ma sai chi è l'utente. In ogni caso, SSO è un problema non banale. Ho sempre scritto il pezzo di integrazione lato client per una soluzione SSO esistente e lo consiglio per la maggior parte delle persone.

    
risposta data 23.02.2011 - 18:32
fonte

Leggi altre domande sui tag