Корпоративная система единого входа и управление идентификацией / рекомендации

Ранее мы обсуждали систему единого входа. Я хотел бы возобновить разговор определенными требованиями, принимая во внимание недавние новые разработки.

На прошлой неделе я проводил маркетинговые исследования в поисках ответов на следующие ключевые вопросы:

В проекте должны быть:

Требования

  • Решение единого входа для веб-приложений.
  • Интегрируется в существующие разработанные продукты.
  • имеет безопасность паролей на основе политик (длина, сложность, продолжительность и т. д.)
  • Политикой безопасности можно управлять с помощью веб-интерфейса.
  • Настраиваемый пользовательский интерфейс (запрос пароля и другие экраны).
  • Высокая доступность (99,9%)
  • Масштабируемость.
  • Работает на Red Hat Linux.

Приятно иметь

  • Содержит группы и роли пользователей.
  • Написано на Java.
  • Бесплатное программное обеспечение (с открытым исходным кодом).

Ни одно из предложенных на данный момент решений не является «убийственным выбором», что наводит меня на мысль, что я буду использовать инструменты для нескольких проектов (OWASP, AcegiSecurity + X ??), отсюда и это обсуждение.

Мы являемся независимым поставщиком программного обеспечения, предоставляющим интерфейсные и серверные приложения. Интерфейс разбит на несколько модулей, которые должны действовать как автономная единица, с точки зрения клиента он использует «приложение», что приводит к этому обсуждению пересмотра SSO.

Буду признателен людям, делясь своим опытом и идеями относительно подходящих решений.

Некоторые решения интересны

Или, в более общем смысле, этот список

Спасибо, Максим.


authentication enterprise amazon-iam identity single-sign-on
person Community    schedule 13.09.2009    source источник

Ответы (5)


arrow_upward
3
arrow_downward

А что насчет FreeIPA?

«FreeIPA - это интегрированное решение для управления информацией о безопасности, объединяющее Linux (Fedora), 389 (ранее известный как Fedora Directory Server), MIT Kerberos, NTP, DNS. Оно состоит из веб-интерфейса и инструментов администрирования из командной строки».

Если вы сосредоточены на веб-приложениях, посетите http://oauth.net/.

person Community    schedule 04.06.2010

arrow_upward
1
arrow_downward

CAS имеет сильное признание, базу пользователей и сильный лидер (который недавно сменил работу, но все еще участвует в проекте). Его легко интегрировать (если вам удобно писать код Java / настраивать компоненты Spring), и он может выполнить все ваши требования, в частности:

Решение единого входа для веб-приложений.

ДА

Интегрируется в существующие разработанные продукты.

ДА (хотя некоторые из них чище, чем другие, но для основных продуктов доступно множество модулей, и он поддерживает общие стандарты (SAML, OpenID).

имеет безопасность паролей на основе политик (длина, сложность, продолжительность и т. д.)

* ДА - может быть легко реализован, и некоторые расширения для интеграции с LDAP (вероятно, наиболее распространенный пользовательский магазин) поддерживаются

Политикой безопасности можно управлять через веб-интерфейс.

НЕТ - хотя его можно собрать довольно просто - если вам комфортно с разработкой, и, учитывая, что это, вероятно, будет нетривиальный проект, я бы рекомендовал рассматривать его как неблокирующий, учитывая, что продукт имеет открытый исходный код.

Настраиваемый пользовательский интерфейс (экран с запросом пароля и ко.)

ДА - легко настроить с помощью базового редактирования HTML / CSS

Высокая доступность (99,9%)

ДА - оба надежны и могут легко поддерживать несколько сценариев узлов / аварийного переключения

Масштабируемость.

ДА - используется во многих средах с высоким трафиком, как в интрасети, так и в Интернете

Работает в Red Hat Linux.

ДА

person Community    schedule 09.06.2010

arrow_upward
0
arrow_downward

Oracle Enterprise Single Sign-On - это не то, что вам нужно - для этого требуется исполняемый файл Windows. Oracle Access Manager ближе к тому, что вы после (хотя это не бесплатно и не на основе Java).

person Community    schedule 14.09.2009
comment
Спасибо, убрал Oracle SSO из списка опций. - person Maxim Veksler; 14.09.2009

arrow_upward
0
arrow_downward

Основными коммерческими игроками на рынке управления идентификацией и доступом (IAM) являются CA, Oracle, IBM, Sun и Novell. Ни одно из этих решений не является бесплатным, но в них есть многие функции, которые вы ищете.

В качестве бесплатного программного обеспечения я рекомендую DACS: распределенную систему контроля доступа. Я знаю, что один отдел, в котором я работаю, успешно реализовал это. У него не так много функций, как у коммерческих продуктов IAM, но в остальном это хорошее решение.

person Community    schedule 03.02.2010

arrow_upward
0
arrow_downward

Я использовал резервное копирование Tivoli Access Manager на ящики Websphere и IIS - способ записи информации о доступе в заголовки страниц очень полезен. С другой стороны, я не нашел серверную часть DB2 Ldap очень масштабируемой или надежной, и вы знаете, что с IBM это не будет дешевым.

Кроме того, асинхронные пути (соединения), используемые для идентификации различных серверов, на самом деле являются чем-то вроде взлома, например, http://mysite/myserver/myapp - очень плохая идея и не очень хорошо продумана.

person Community    schedule 31.03.2010