Intranet aziendale SSO per webapps contro Active Directory

Sto provando a pianificare e implementare una soluzione SSO in un ambiente aziendale che utilizza applicazioni web Intranet in esecuzione su CentOS:

  • Portale aziendale (Drupal backend)
  • Gestione del progetto (Project.NET)
  • Sistema di collaborazione documentale (Alfresco)
  • Helpdesk (Redmine)
  • Tracciamento delle emissioni (Atlassian Jira)

L'authentication viene implementata con successo con Active Directory tramite LDAP in quanto il supporto per queste applicazioni è fuori dal box o da un plugin.

  • Il server viene caricato in alto, CPU inattivo. NFS la causa?
  • Rende il Redhat più sicuro?
  • Cosa si intende per punto di assembly non esiste?
  • mount error (13): Permesso negato con Windows share
  • Autenticazione FreeRADIUS2 e LDAP
  • CentOS: Quando sono SSH, i file core * vengono creati
  • Dato che non esiste un plugin o un module SSO nativo stabile per tutti i webapps sopra indicati, mi appoggio verso una distribuzione di Shibboleth come provider di identity framework; e soluzione SSO. Poiché non sono sicuro se questo sia adatto alla situazione specifica vorrei chiedere quanto segue:

    • Shibboleth è adatto per agire come intermedi per fornire un login SSO in questo schema:

    Active Directory <= credenziali di dominio <= Shibboleth => Identity => login di applicazione

    • Per quanto ne so, l'authentication fornita da Shibboleth all'applicazione viene effettivamente raggiunta tramite la configuration del server web (Apache, Tomcat, ecc.). Questo tipo di authentication fornisce solo l'authorization per visualizzare il contenuto di una determinata pagina o può integrarsi completamente con l'authentication delle applicazioni (come funziona l'authorization LDAP)?
    • Se il login di identity framework; di cui sopra effettivamente funziona, le funzionalità dell'applicazione per un utente autenticato continueranno a funzionare come se l'utente era normalmente connesso con le credenziali di dominio? (ad esempio Redmine support la creazione dell'account per un login di dominio di dominio di prima volta).

  • MediaWiki lento salvataggio delle pagine modificate
  • Postfix su CentOS 7 non può autenticare contro cyrus saslauthd
  • Metodi per analizzare l'output Red Hat sosreport?
  • Come montare l'unità a Google Cloud (Google Compute Engine)?
  • Notifica via email di HP System Management Linux
  • sinergia sostituzione
  • One Solution collect form web for “Intranet aziendale SSO per webapps contro Active Directory”

    Un Identity Provider (IdP) gestisce l'authentication contro un database o un server LDAP e passa le informazioni utente a un'applicazione = Service Provider (SP).

    Suppongo che intendi usare l'implementazione del Provider del servizio fornite dai creatori di Shibboleth (soprannominato shibboleth-sp) parlando con un Shibboleth IdP.

    Questo funziona specificando le risorse da proteggere nella configuration del server web e aumentando i parametri passati all'applicazione dagli attributi richiesti dall'IDP da parte della SP. Questi attributi devono essere rilasciati dall'IDP al richiedente SP (attribute-filter.xml) e deve significare qualcosa all'applicazione. L'IdP non esegue il controllo di accesso, l'applicazione deve decidere in che modo interpreta i parametri ricevuti dall'IDP.

    Quindi hai un'applicazione che può parlare direttamente con un IDP (tramite SAML2, ad es. Liferay EE) oppure utilizzi shibboleth-sp e utilizza gli attributi per mappare un utente al model di ruoli dell'applicazione.

    Un caso di base sarebbe simile all'uso dell'authentication HTTP, disabilitando l'authentication nell'applicazione e utilizzando il parametro REMOTE_USER per identificare l'utente. Ulteriori dati potrebbero essere recuperati dall'applicazione nei propri store di dati.

    Panoramica: http://predic8.com/shibboleth-web-services-sso-en.htm

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.