Лучший способ обработки/консолидации нескольких логинов?

Question

это сценарий: существует несколько веб-систем (в основном, лампа/лампа), большинство из них имеют отдельную регистрационную информацию (некоторые ее используют). Мы рассматриваем преимущества/недостатки их унификации, или, по крайней мере, упрощаем обработку частей пользовательского администрирования.

Из-за природы некоторых систем (смешанного пакета пользовательских систем OSS, внутреннего программного обеспечения и стороннего коммерческого программного обеспечения) мы не можем объединить все экраны входа в один экран.

Идея, пройденная вокруг, является своего рода мозгом администратора входа в систему, поскольку мы можем контролировать все создание имени пользователя, разрешения, инактивацию и т. Д. Это все равно заставит людей вручную войти в систему, но, по крайней мере, это будет упростить административную нагрузку управления пользователями.

Есть ли какие-либо известные решения этой проблемы, связанные с (возможно, это можно было бы рассмотреть) изменение наименьшего количества кода/систем?

Edit:OpenID не работает для нас, так как мы имеем различные потребности входа и некоторые системы мы не можем непосредственно контролировать, как они обрабатывают процесс входа в систему (но мы можем контролировать пользователей/паролей).

Answer 1

Мы сделали так, чтобы централизовать все данные для входа в один репозиторий (Active Directory для нас), а затем написал библиотеку C# для проверки подлинности с помощью оболочек для всех языков, на которые мы запрограммировали (PHP, C, .NET и т. Д.). а затем просто написал некоторый код клея в соответствующем месте для каждого приложения. Помимо наших собственных приложений, мы успешно вошли в Mediawiki, Subversion, ActiveCollab и Apache.

Это связано с написанием разумного количества кода, но не смешными суммами, и оно будет работать и на будущее. Я не вижу практического решения, которое было бы проще, чем это.

Чтение вашего вопроса Я отмечаю, что это более или менее то, о чем вы думаете, но это сработает!

Answer 2

Многие люди, похоже, любят OpenID для такого рода вещей. Однако я не уверен в возможностях интрасети.

Еще одна идея - использовать вашу систему «мозг», чтобы передать аутентифицированное имя пользователя приложениям-сестрам/братом в качестве сообщения формы, затем обработать аутентификацию в этой системе и создать свои билеты на безопасность с тем, что было отправлено.

Надеюсь, вы найдете то, что ищете!

Cheers!

Answer 3

Существует большая индустрия вокруг него, и это называется IAM - Identity Access Management. Решения IAM в основном делают то, что вы хотите - управлять пользователями, разрешениями пользователей и переводить их внутреннее состояние в множество систем. В зависимости от возможности интеграции у вас может быть «SSO» - Single Sign On для какого-либо программного обеспечения, или у вас может быть один источник аутентификации. Первое из них отличается от того, что пользователю SSO необходимо выполнить однократную проверку учетных данных, в то время как в дальнейшем он имеет только тот же логин и пароль.

Также IAM сумеет расширить возможности своих пользователей. Например, сетевое оборудование может поддерживать только одного пользователя/пароль. Тогда IAM-решение автоматически откроет терминал и войдет в систему пользователя, когда он его попросит; предполагая, что пользователь находится в правильной группе безопасности.

Реализация решения IAM может значительно облегчить управление системами.

Я не могу рекомендовать какое-либо конкретное решение, просто имейте в виду, что переход от текущего метода к IAM потребует большего, чем интеграция с другим программным обеспечением, а также некоторые изменения в корпоративной культуре, поскольку одна система свяжет все остальные.