AD单点登录(SSO),浏览器和网络 [英] AD Single Sign On (SSO), browsers and networks
问题描述
我想,以确定是否SSO是我想在我的情况下使用。我们所有的用户都在AD。我有一些通过AD进行身份验证的基于网络的服务(目前他们要求用户进行登录时,他们访问的网站)。关键点:
I'm trying to determine if SSO is what I want to use in my scenario. All of our users are in an AD. I have some web-based services that authenticate via the AD (currently they ask the user for a login when they visit the sites). Key points:
- 所有的用户都加入到AD的Windows笔记本电脑。
- 有时,他们访问LAN(公元访问服务器),在这些网站上,有时会通过互联网(AD服务器无法访问)。
- 在某些用户可能希望通过一个非AD计算机访问这些网站(如平板电脑,手机,家用电脑)
- 在用户使用各种不同的浏览器。
- 在这些网站大多是通过Apache的Linux服务器上运行
AD是否基于SSO的工作:
Does AD-based SSO work:
- 如果客户机可以在AD服务器直接联系不上?例如笔记本电脑在使用缓存的凭据已经登录?
- 如果用户使用的是比IE之外的浏览器?
是否有可能已经制定后备验证机制?例如如果SSO是不可能的,然后回落到HTTP认证或cookie的身份验证?
Is it possible to have fallback auth mechanisms in place? e.g. if SSO is not possible, then fall back to http auth or cookie auth?
干杯,
维克托
推荐答案
是的,如果缓存的凭据时,当浏览器请求一个Kerberos服务票证,缓存的凭据使用Windows来获得TGT的用户,然后服务票证请求。这是对用户透明,使他们获得相同的体验,就好像他们在办公室里,连接到局域网中,并没有使用缓存的凭据。
Yes, if cached credentials are used, when browser requests a Kerberos service ticket, the cached credentials are used by Windows to get a TGT for the user and then the service ticket is requested. This is transparent to the user, so they get same experience as if they were in office, connected to the LAN, and not using cached credentials.
其他一些浏览器支持协商协议,而不仅仅是IE浏览器。我知道Firefox没有,我认为Safari浏览器也同样。
Some other browsers support the Negotiate protocol, not just IE. I am aware that Firefox does, and I think Safari does also.
这篇关于AD单点登录(SSO),浏览器和网络的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
