OpenSSO / OpenAMの代替

既存のアプリケーションを統合していますか、それとも独自のアプリケーションをサポートしたいだけですか？

実際のSSOを探していますか、それとも単に共有資格情報を探していますか？ SSOは単一のアプリケーションにログインし、その認証情報を別のアプリケーションに伝播させます（GmailにログインしてBloggerに自動的にログインするなど）。共有資格情報は、アプリケーション間で同じログイン名とパスワードを使用できますが、資格情報自体は自動的に伝播されません。

LDAPは、共有資格情報を管理するために使用される一般的なシステムです。多くのシステムでは、認証ストアを既存のLDAPサーバーにポイントすることができます。

たとえば、Java EEコンテナにデプロイされた複数のアプリがあり、メールサーバーとウェブベースのメールクライアントもある場合、これらの多様なアプリケーションはすべて同じLDAPを指すことができます。サーバーとユーザーは、すべて異なるシステムで1つのログインとパスワードを使用し、すべてが異なる言語で記述され、すべて異なるマシンにデプロイされます。これはLDAPの基本的な使用例であり、ほとんどすべてのシステムでこれを処理できます。 GlassfishとTomcatはどちらもLDAPサーバーに対して簡単に検証できます。Apache（Webサーバー）、Postgres（データベース）、Postfix（メール）なども検証できます。

したがって、単純に共有資格情報が必要な場合は、LDAPサーバーをインストールすることで、今すぐ「無料」で取得できます。 LDAPは、DBMSのようなものとは少し異なる動物ですが、少し勉強して「理解する」と、それは本当に非常に素晴らしいことです。 OpenLDAPは人気のあるLDAPサーバーですが、私はApacheDSには不慣れです。

これをJava EEコンテナに設定する方法は、「レルム」を設定することです。GFとTomcatはどちらもLDAPレルムをそのまま使用できます。他の人がやると思いますが、Java EEセキュリティを使用してレルムを活用する必要があります。

Java= EEレルムの詳細は、それがアプリケーションではなくCONTAINERの一部であることです。接続プールがアプリケーションが利用するコンテナリソースであるように、ほとんどの人がセキュリティを望んでいます。自分のアプリケーションの一部になり、より制御できると感じます。

さまざまなアプリケーションを入手し始め、すべてのユーザーが異なる方法で構成され、個別のユーザーリストやパスワードポリシーなどを持っているまでは、これで問題ありません。

LDAPは、すべて同じクレデンシャルストアを使用するように設定するため、多くの問題を修正できます。

レルムは、Java EEサーバーで必要なものを満たします。アプリケーションは、コンテナーによって提供されるレルムを使用するように構成されます。複数のアプリケーションと1つのレルムがある場合、それらはすべて共有されます。そのレルム内の資格情報（レルムタイプに関係なく）。

レルムは何でもかまいません。ファイルベース、データベースベース、LDAPなどです。コンテナがクラスター化されている場合、レルムもクラスター化されます（これは便利です）。

Java EEセキュリティの欠点、およびほとんどのアプリがこれを回避する理由は、ここでも、レルムはコンテナーではなくアプリケーションの一部であるため、ユーザー管理、パスワードポリシーなどの観点から、必要な機能を使用し、おそらく提供しない。

しかし、Java= EEセキュリティの明るい面は、いったん傘下に入ると、コード全体で資格情報を簡単に活用できることです。ユーザーがWebサイトにログインすると、資格情報はそこでWebアプリで使用するか、EJB層（リモートEJB層は常に）に自動的に伝播して戻すことができ、情報は常に便利です。

Webアプリをレルム、EJB、Webサービスに向けることができます。それらはすべて同じ部分を活用します。

両方の利点を最大限に活用するには、コンテナ固有のメカニズムを活用してコンテナのセキュリティにアクセスします。これは、Java EEセキュリティのもう1つの欠点です。

レルムのようなもの、およびコンテナーのセキュリティへの直接アクセスは、コンテナー間で移植できません。 GFは、Tomcatとは異なりますが、WebLogicとは異なります。非常に近いですが、詳細が異なるため、コードがシームレスに移植されません。

明るい面は社内アプリです。ほとんどの人は、自分の持っているコンテナーを活用し、コンテナー依存コードを合理的に抽象化し、それを呼び出します。別のアプリケーションに移動する場合は、移植する必要があります。容器。しかし、実際には。データベースのように、コンテナプラットフォームが選択されると、人々は密に寄り添い、それに固執する傾向があります。

最後に、サーブレット3.0（GF3およびTomcat 7）は、プログラムによるログインの問題の多くを標準化して、コンテナー間での移植性を高めていますが、基本的な概念は同じです。

さて、SSO。

SSOは別の獣です。ただし、GFとTomcatはどちらもWebアプリのSSOをサポートしています。これにより、1つのWebアプリにログインして、ログインしなくても他のWebアプリに簡単にアクセスできるようになります。しかし、SSOは、アプリケーションの制御下にあるより柔軟なものではなく、コンテナのセキュリティとそのライフサイクルに大きく依存しているため、少し制限されています。レルム（それは当然のこと）だけでなく、実際のカスタムのプログラムによるログインではなく、コンテナベースのFORMログイン。FORMログインは壮観ではありませんが、機能的で機能します。レルムを実装し、アプリをTomcatの単一インスタンスにデプロイするか、GF（またはGF 3.1）のクラスタであり、無料でSSOを取得できるので、それが重要であれば、それは本当にいいことです。バックオフィスアプリの使いやすさは問題ありませんが、おそらく公衆インターネットはそうではありません。 。

より高度なSSOソリューションが必要な場合は、カスタム実装を確認する必要があります。 OpenSSOはその1つであり、SAMLおよびSAML Webプロファイルに依存しています。ただし、他にもあります。 CAS、Atlassian Cloud、Kerberos、およびOAuthもあります。これらはすべてSAMLとは異なるプロトコルを使用しています。SAMLを使いたい場合は、ShibbolethまたはSimpleSAML（SimpleSAML PHP SAML IDプロバイダーとして機能するサーバーですが、アプリケーション内にサービスプロバイダーが必要です）。

どのプロトコルを選択しても、プロセスは基本的に同じです（ここで詳しく説明します クロスドメインログイン-あるドメインから別のドメインに転送されたときにユーザーを自動的にログインさせる方法 ）。

しかし、悪魔は詳細にあります。そして、少年、悪魔がいます。

これらのシステムはすべて複雑です。 SSOは複雑です。たとえば、シングルサインオンを使用している場合、シングルサインアウトはどうでしょうか。シングルタイムアウトはどうですか？ユーザーがログインしている間の資格情報の変更についてはどうですか？ WebサービスのSTS（Secure Token Service）はどうですか？ （STSは、Webサービスに同様の委任認証メカニズムを提供します。）

SAMLは、多くの新しい語彙と多くの構成を紹介します。ドキュメンテーションは優れたものではなく、より高いレベルの一般的なことについて話している標準ドキュメントに大きく依存しているため、簡単には取り上げられません。具体的には、あなたやあなたのアプリケーションではありません。

本当にSSOが必要ない場合は、中央のLDAPストアのようなコンテンツが存在し、そこから続行される可能性があります。

そうは言っても、例として、私たちのアプリケーションはDBとLDAPの両方のバックエンドをサポートしています。これらはGlassfishを使用し、Java EEセキュリティ。ユーザーエクスペリエンスを完全に制御します。SAMLを介したSSOもサポートします（独自のIDおよびサービスプロバイダーを作成しました）。また、LDAPを介して両方の共有資格情報を持っていますJavaおよびその他のアプリケーションでのコードとサードパーティのコードを使用したSSOです。明るい面は、すべて標準に基づいていることです。悪い面は、標準が英語で伝達され、英語が対象であることです解釈に。

私はこれができると言うだけでこれを言います。ナプキンSSO実装の裏側で、​​同じドメインとクロスドメイン（同じドメインは共有Cookieを使用してシンプルです）の両方を、単純なサーブレットフィルターを使用してアドホックで記述しました。パスワードポリシー、パスワードの回復、キープアライブタイマー、複数のウィンドウタイムアウト、セッション管理（これはちょっとしたことです）、ロール、特権など。

また、Springに加えてこれらすべてを提供するSpringとSpring Securityについては言及しません。私はそれを使用していません（私はSpringの人ではありません）が、それらの人々は彼らが何をしているかを知っているので、一見の価値があります。