大規模組織向けのベストシングルサインオンプラクティス
現在、大規模な組織(10万人以上のメンバー)の複数のITプロジェクトに取り組んでいます。私が設計しているすべてのウェブサイトの何らかの統合と統合を提供することを考えています。
私の質問は、そのような統合のベストプラクティスは何ですか?
主に2つのphpベースのエンジンを使用しています:WordPressおよび Q2A
私が達成したいこと:
- 私が管理するすべてのWebサイトにシングルサインオン(SSO)を提供します。
- StackExchangeのユーザーのトップバーのようなページ間で情報を交換します
- WordPressにSSOプラグインを提供します(この組織には多くの下位組織があり、それらのほとんどに単純なWordPressベースのWebページがあります。統合されたSSOを介したユーザーによるログ記録を許可します)。
それでは、ベストプラクティスは何ですか? SSOメカニズム自体はそれを達成するのに十分強力ですか、それとも何らかの修正を探す必要がありますか?
広く使用されている2つのシングルサインオンプロトコルがあります。
技術的な観点からの最大の違いは、サイトがOauthサーバーに事前登録する必要があることです。 Oauthプロバイダーは、訪問者にログインするときに送信する必要があるトークンをサイトに提供します。 OpenIDは、事前に配置された関係を必要としません。
現在、Oauthがより良い選択のようです。 Facebookは常にシングルサインオンのOauthログインのみをサポートしています。 Googleは以前OpenIdをサポートしていましたが、その後Oauthを実装し、OpenIdの廃止を開始しました。
StackExchangeは、独自のOpenIdサーバーを記述するか、サードパーティプロバイダーから選択できるようにします。シングルサインオンプロバイダーを1つだけサポートすれば、ユーザーの混乱がはるかに少なくなります。独自のものでも、Googleを使用するものでもかまいません。