我听说在Windows上您可以从Web浏览器登录到Web服务器,而无需通过常用的登录输入用户名和密码,而是使用NTLM协议直接使用Windows中的凭据.

这是如何实现的？Web服务器是否需要支持一些额外的身份验证？

更新:我要的是通用的Web服务器,而不仅仅是IIS.例如,如何在Apache上执行此操作？

我考虑使用OAuth进行单点登录(SSO)和RESTful服务.乍一看使用OAuth作为事实上的标准对我来说很自然.但我必须承认,我不明白如何将它用于SSO.在研究OAuth期间,我发现越来越多的批评Auth - 以至于我倾向于认为OAuth失败了.

OAuth很难实现.

可用性很差.

为什么Facebook今天没有实施OAuth:

• "OAuth比我们自己的本机身份验证机制更复杂,性能更差"
• "OAuth WRAP看起来会解决大多数或所有这些问题"
• 由于两个请求和长URI,性能不佳
• "图书馆质量总体上很差"

可能由微软,雅虎和谷歌提供支持的WRAP将取代OAuth.

OAuth(和WRAP)发生了什么？

那么OAuth失败了吗？SSO的替代品有哪些 - 最好是那些被广泛接受或者广泛使用的观点？你更喜欢WRAP吗？

我想让我网站的访问者使用他们的Google帐户登录,而不必注册并创建一个新帐户.

一些东西:

• 我没有使用Django身份验证框架,而是我自己进行身份验证并在我自己的表集中保留有关用户的信息
• 因此,各种django-openid库不适用,因为它们都假设使用了标准的Django auth框架.

我试图研究python-openid库+ google联合登录API,但我迷路了.我尽可能地了解实例化Consumer类但不了解会话并存储所需的params.我无法理解看起来如此简单的事情会如此复杂.是否真的没有一步一步的教程如何在纯python或django中做到这一点？

我试着看一下python-openid中的examples/consumer.py,但是我不理解它的500行代码.

我也不明白如何在每次向我的网站发出请求时对用户进行Google帐户验证.Google API仅说明了初始登录步骤.每次向我的网站发出必须针对谷歌服务器验证身份验证的请求会发生什么？

我正在使用中央身份验证系统(jasig.org)为我的Intranet Web应用程序实现单点登录功能.我在同一台机器(windows)中运行了两个tomcat实例.两个tomcat实例都已配置为使用SSL并使用了自签名sertificate(使用java keytool创建).

Tomcat1

Cas Server.

server.xml中

<Connector port="8443" maxHttpHeaderSize="8192" SSLEnabled="true"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
           keystoreFile="C:/Users/sandip.paul/.keystore"
           keystorePass="changeit"
           truststoreFile="C:/Program Files/Java/jdk1.6.0_20/jre/lib/security/cacerts" />

Tomcat2

myWebApp(使用spring security)

server.xml中

<Connector port="8663" maxHttpHeaderSize="8192" SSLEnabled="true"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

下面是myWebApp的applicationContext-security.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns:security="http://www.springframework.org/schema/security"
    xmlns="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
            http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
                        http://www.springframework.org/schema/security
                        http://www.springframework.org/schema/security/spring-security-2.0.4.xsd">

    <!--
        Enable security, let the casAuthenticationEntryPoint handle all intercepted urls.
        The CAS_FILTER needs to be in the right position within the filter chain. …

根据Shibboleth wiki实体命名我们不应该使用真正的主机到实体id,我很困惑使用什么.实体ID是否有任何意义,或者我可以选择什么？

如果我在配置后编辑它会怎么样

我的网络路径将需要sso http://exp.uni.edu(这将获得auth数据http://uni.edu),SP可以放在http://exp.uni.edu path.

我对Thinktecture的Identity Server 2的理解是没有实现单点登出.换句话说,当您退出一个依赖方时,Identity Server不会自动将用户从任何其他RP中签名.我知道有关于此的帖子,但我还没有找到任何关于如何扩展Identity Server来执行此操作的内容.我已经看到一些帖子说Identity Server已经开箱即用了...如果确实如此,我还是无法找到方法.

我有SSO与Asp.NET Web Forms,WIF和Identity Server 2一起工作得很好,而且我能够很好地退出RP,但从我可以看出,Identity Server中需要一些额外的代码才能将用户从他可能登录的任何其他RP中完全签名.

有没有人扩展Identity Server以实现单点注销？

这是可以在Identity Server中配置还是需要一些编码的东西？

如果你拥有它,我真的很感激.

谢谢.

我创建了一个带有OWIN中间件的WebAPI OData 3.0 Web服务,该中间件配置为使用Windows Azure Active Directory进行身份验证.ODataControllers标有一个[Authorize]属性,IAppBuilder配置如下:

app.UseWindowsAzureActiveDirectoryBearerAuthentication(
            new WindowsAzureActiveDirectoryBearerAuthenticationOptions
            {
                Tenant = ConfigurationManager.AppSettings["ida:Tenant"],
                TokenValidationParameters = new TokenValidationParameters {
                    ValidAudience = ConfigurationManager.AppSettings["ida:Audience"]
                },
            });

ida:Tenant是我的Windows Azure租赁,ida:Audience是App ID Uri.

现在,我想使用Excel PowerQuery使用此服务,使用AzureAD中的帐户进行身份验证.但是,当我选择"组织帐户"并尝试"登录"时,我收到以下错误:

无法连接.此资源不支持此凭据类型.

在Fiddler中,我可以看到请求是使用Bearer标头进行的,但它是空的.

我想实现类似于查询AzureAD Graph时的行为.
例如,如果我尝试使用https://graph.windows.net/.onmicrosoft.com/users?api-version=2013-04-05,则会打开一个单点登录窗口,在Fiddler中我可以看到令牌被传递.

我怎样才能实现这种行为？我错过了什么？

谢谢!

在SP上启动单点登录(SSO),SP和IdP都是自托管的,因此可以灵活地编辑这两者.我使用spring-security-saml2-core-1.0.1.RELEASE来托管spring应用程序(spring-security-3.2.8,spring-mvc-3.2.14.RELEASE),它在URL上为多个租户提供服务: sp1. example.org,
sp2.example.org
使用Shibboleth IdPv3.2.1托管IdP,它可以与托管在不同SP服务器上的多个应用程序一起使用.

我正在尝试从sp1和sp2的同一服务器发送不同的元数据.我通过覆盖SAMLContextProviderImpl 在这里阅读了一个关于多租户SP 和这里的自定义逻辑populatePeerEntityId,同样我试图覆盖populateLocalEntityId因为我无法使用alias.

有人可以为Overriding提供一个示例代码populateLocalEntityId来处理多租户元数据吗？

SP配置如下图所示:

<!-- Filters for processing of SAML messages -->
<beans:bean id="samlFilter" class="org.springframework.security.web.FilterChainProxy">
    <filter-chain-map request-matcher="ant">
        <filter-chain pattern="/saml/login/**" filters="samlEntryPoint" />
        <filter-chain pattern="/saml/logout/**" filters="samlLogoutFilter" />
        <filter-chain pattern="/saml/metadata/**" filters="metadataDisplayFilter" />
        <filter-chain pattern="/saml/SSO/**" filters="samlWebSSOProcessingFilter" />
        <filter-chain pattern="/saml/SSOHoK/**" filters="samlWebSSOHoKProcessingFilter" />
        <filter-chain pattern="/saml/SingleLogout/**" filters="samlLogoutProcessingFilter" />
        <filter-chain pattern="/saml/discovery/**" filters="samlIDPDiscovery" />
    </filter-chain-map>
</beans:bean>

<!-- Handler deciding where to redirect user after successful login -->
<beans:bean id="successRedirectHandler" class="com.example.web.sso.CustomAuthenticationSuccessHandler" …

我将使用ADFS作为身份提供程序（IDP）来实现对Java应用程序的单一登录。通过OneLogin找到了此解决方案SSO，并试用了其示例应用程序。除此之外，还有Shibboleth的另一种解决方案。

我想知道什么是最适合我的情况的解决方案。两者之间，这不是Spring应用程序。

谢谢

哪个是SSO实施的最佳选择Keycloack与CAS Vs Okta？我特意寻找每项服务的缺点,以确定我的系统的最佳适用性.