SSO -中央认证服务(CAS) -用于生产？

Question

银行/金融服务项目是否使用中央认证服务(CAS)？它是生产使用的可靠框架吗？

更新：-

用户详细信息存储在上，但与windows登录无关。

我们有大约5个不同的相关web应用程序(单独的wars)，其中可能有共同的用户。我们计划实现一个通用的web应用程序，它使用spring安全性来处理登录机制。这个应用程序将把Spring安全上下文传递给所有其他web应用程序，这些应用程序也将使用spring安全性。

在此同时，我们还使用了2因素身份验证。

在进行了一些搜索之后，CAS似乎有助于实现SSO (与Spring安全一起)，但我只是想确保它是否可以用于金融服务项目生产系统?？

Answer 1

我是CAS的主席和CAS在云(https://www.casinthecloud.com)的创始人。

CAS是一个web，它支持Kerberos和SPNEGO。所以是的，它也可以是企业SSO。

CAS已经准备好生产了:对于一家大公司来说，我用它来访问数百万用户和上百个网站。

我不确定完全同意“后频道”/“前频道”的说法。SAML是联邦的标准，所以如果您有两个主要组织拥有自己的SAML IdP，那么您将能够联合身份。对于其他用例，我更喜欢CAS，它要简单得多，并且拥有大量CAS客户端的大型社区。

Answer 2

我在德国一家大公司工作(我的个人资料中没有列出这个公司)，我在300k+ eployees公司工作。我们在许多应用程序中使用CAS，但我们的主要策略是SAML。SAML的主要原因是“前端通道”--您可以通过浏览器可靠地传递断言。

这在大型企业中有着巨大的优势，因为网络的一部分经常是防火墙的，所以“反向通道”解决方案(如CAS)并不总是有效的。

例如，使用SAML，您可以在公司的SAML身份提供者中使用一个完全的外部服务，比如Salesforce。就快从盒子里出来了。

请注意，我对CAS的生产知识是4岁。对于CAS的“后频道”，我可能弄错了，请重新检查一下。

好吧，很少有关于你的问题更新的进一步的洞察力。

• 我们也使用AD作为用户目录。
• 我们的身份提供者(基本上在您登录的地方)实现x因子auth (SMS和令牌服务)。
• 我们使用标准的SAML解决方案，我们不实现专有的东西。
• 对不起，我之前没有提过-我不是金融/银行，但我们有非常广泛的安全要求的应用程序。
• 我认识在金融部门使用CAS的人。然而，重要的不是主题领域，而是严格的要求。
• 我过去在Security方面有过积极的经验，但在目前的公司(更多的是JBoss)，它不是首选的技术。

核证机关当然是一件好事，肯定会奏效的。然而，失败的通常不是技术，而是如何在上下文中使用它。如果你没有广泛的经验，在这方面，请咨询或专业的五倍。太多的事情可能会“一点点错”，并导致严重的后果。

我正在编写所有这些--我甚至不是一个安全专家，我是一个架构师，设计这些应用程序是为了满足他们的安全需求。

Answer 3

注有两种主要类型的单点登录(SSO)。

我称之为“企业SSO”(Enterprise)，它使用Mircosoft Active Directoy凭据，用户用来登录到他们的工作站，并使用IE等浏览器内置的SSO特性访问其他资源，如网站。所使用的底层协议是Kerberos或NTLMv2 (也称为SPNEGO到NEGOtiate、Kerberos或NTLMv2)。这使得登录成为真正的“单一”登录，因为用户只在登录到他们的工作站时输入一次密码。没有很多解决方案可以执行这种类型的SSO。显然，IWA打开的IIS就是其中之一。

然后有许多其他的网站解决方案，这些解决方案实际上将客户端重定向到另一个验证客户端的中心网站，然后使用某种令牌将它们重定向回原始站点。这种类型的SSO通常在Internet上使用(比如当您使用google凭据登录到stackexchange时)，但在企业环境中也并非完全不常见。它在学术机构中很流行，学生们使用他们能找到的任何计算机，并且一开始就不使用域证书登录。

因此，在银行/金融机构这样的企业环境中，我认为“企业SSO”是最直接也是最优的解决方案。对于非企业SSO解决方案，身份验证步骤通常需要一个密码，所以它不是真正的SSO。您必须登录到工作站，然后登录到SSO中心网站，然后访问参与该特定SSO解决方案的任何站点。它需要运行额外的服务。

但是不要在谷歌上搜索“企业SSO”，因为所有的东西都被营销为“企业”。将"Kerberos“、"NTLMv2”、"Active“等搜索词与"SSO”以及您的服务器编程环境结合使用。