我对如何使用 SiteMinder 和 OpenSSO 管理以下场景感兴趣
给定两个 Web 应用程序,并强制要求在它们之间使用 SSO。应用程序 A 是一个简单的应用程序,仅需要用户名/密码组合。应用程序 B 需要多重身份验证。
我们应该如何管理两个应用程序之间的不同身份验证级别?有没有办法在像 SiteMinder 这样的工具中表达这一点,以便用户在登录应用程序 A 时可以被分配“基本身份验证级别”,但如果他们访问应用程序 B,他们将面临第二个因素的挑战?
我的直觉是,第二个因素需要在 SiteMinder 级别进行管理,因为应用程序 B 位于其后面,从其角度来看,身份验证是由应用程序服务器/SSO 管理器强制执行的二元决策:即应用程序“被告知”用户是否已通过身份验证...应用程序 B 将无法控制用户所拥有的身份验证级别。
SiteMinder 是否管理这种不同级别的身份验证的想法,是否可以用 SAML 来表达?
我本以为这是一种常见的模式,但我似乎找不到任何有关配置、最佳实践等的文档。
提前致谢,
芬坦
最佳答案
这是 SiteMinder 绝对可以做到的事情。有时它被称为“逐步身份验证” - 这基本上意味着在需要时使用更强大的身份验证形式对用户进行身份验证。
它应该由 SiteMinder 的策略引擎集中控制。其他 Web 访问管理产品也有类似的方法。
当您谈论联合域外的应用程序时,SAML 可能会发挥作用。在 SAML 中,您可以指定一个 AuthnContext,向其他方指示需要/已执行的身份验证级别。
关于authentication - SSO 和多重身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6645811/