Single Sign-On на основе логин/пароля windows?

Question

akass @akass

Developer

Single Sign-On на основе логин/пароля windows?

Есть необходимость сделать SSO на основе логин/пароля винды. Чтобы после входа в систему делать запрос на внешний сервис и получать токен. Как лучше это сделать? Сейчас пытаюсь кастомизировать вход в винду (pGINA) но что-то не очень мне это нравится

Вопрос задан более трёх лет назад
561 просмотр

9 комментариев

Подписаться 5 Оценить 9 комментариев

Станислав Макаров @Nipheris

Нужно, чтобы вход в Винду был через аутентификацию во внешнем сервисе? Какие версии Вендов интересуют?

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: В винду обычный вход, просто параллельно с этими же данными пройти аутентификацию на внешнем сервисе. Пока только Windiws 7

Написано более трёх лет назад
Станислав Макаров @Nipheris

Просто в Семерке и выше есть нормальные API для поставщиков учетных данных (в Семерке первая версия этого API, в Восьмерке и выше - вторая), а GINA это что-то из времён XP, имхо.

Написано более трёх лет назад
Станислав Макаров @Nipheris

akass а, т.е. наоборот все-таки. Обычный это какой? В домене же?

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: Вы про Credential Provider?

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: Да, обычный в домене.

Написано более трёх лет назад
Станислав Макаров @Nipheris

akass да, я про них, но это если бы у вас наоборот было - что у вас есть условно говоря база пользователей, и вам надо залогинить человека, пользуясь этой базой, при этом стандартными механизмами вроде домена вы пользоваться не хотите.
Как я теперь понимаю, вы наоборот, хотите залогиниться в обычную учетку в домене, но пройти также и авторизацию на внешнем сервисе.

Если этот сервис внешний по отношению к вашей компании, то вам бы не помешали Federation Services. Но этот внешний сервис должен уметь в SAML, да и вам придётся поднять на сервере эту роль. Внешний сервис достаточно умён для таких вещей?

Написано более трёх лет назад
Станислав Макаров @Nipheris

akass вот типичный сценарий прямо с Вики ( https://en.wikipedia.org/wiki/Active_Directory_Fed... ). Это про вас?

In practice a user might typically perceive this approach as follows:

The user logs into their local PC (as they typically would when commencing work in the morning).
The user needs to obtain information on a partner company's extranet website - for example to obtain pricing or product details.
The user navigates to the partner-company extranet site - for example: example.com.
The partner website now does not require any password to be typed in - instead, the user credentials are passed to the partner extranet site using AD FS.
The user is now logged into the partner website and can interact with the website "logged in".

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: Учетка в домене AD, надо по ней во время входа отправить запрос на CAS сервер и получить тикет для доступа к сервисам. Все это внутри компании. Цель вводить пароль только один раз. pGina как раз и есть обертка над GINA у старых систем и Credential Providers у новых. Вроде бы удобная система написания расширений. Но на данный момент она у меня как раз с доменами и конфликтует.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Merion Academy

Администрирование MS Windows Server

1 месяц

Далее
Нетология

Инженер по автоматизации

13 месяцев

Далее
Skillbox

Системный администратор с нуля

6 месяцев

Далее

Решения вопроса 1

2 комментария

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Системное администрирование

+2 ещё

Простой
Какой посоветуете хостинг виртуальных машин для зарубежных локаций?
- 1 подписчик
- 5 минут назад
- 4 просмотра
0

ответов
Windows

+4 ещё

Простой
Не могу подключить HDD к ноутбуку, как спасти данные?
- 2 подписчика
- 3 часа назад
- 105 просмотров
1

ответ
Windows

Средний
При запуске приложений их окна полностью черные Win 10, в чем проблема и как решить?
- 1 подписчик
- 20 часов назад
- 104 просмотра
1

ответ
Windows

+1 ещё

Средний
Подозрение на bootkit / RAT. Диск невозможно стереть или перезаписать. Может ли это быть что проблема с SSD?
- 2 подписчика
- вчера
- 280 просмотров
3

ответа
Windows

+1 ещё

Простой
Висят процессы powershell, кто их использует?
- 1 подписчик
- вчера
- 225 просмотров
4

ответа
Windows

+2 ещё

Средний
Как получить Smart на raid h710p для диска Cachecade?
- 1 подписчик
- вчера
- 93 просмотра
1

ответ
Windows

+1 ещё

Простой
Какой «крутой» таймер есть в Windows?
- 2 подписчика
- 02 нояб.
- 431 просмотр
3

ответа
Windows

+2 ещё

Средний
Как реализовать ежедневную полную синхронизацию операционных систем Windows 11 на рабочем и домашнем ПК?
- 1 подписчик
- 01 нояб.
- 320 просмотров
4

ответа
PHP

+3 ещё

Средний
Apache 2.4 и php 8.4 под windows. Почему не загружаются модули curl, openssl?
- 2 подписчика
- 01 нояб.
- 245 просмотров
3

ответа
Windows

Простой
Как при помощи powercfg /requestsoverride настроить, чтобы компьютер не засыпал при проигрывании музыки в Edge?
- 3 подписчика
- 01 нояб.
- 190 просмотров
0

ответов
Показать ещё Загружается…

Специалист первой линии поддержки

Ай Ти без проблем • Санкт-Петербург

от 55 000 до 90 000 ₽

Инженер по безопасности ИТ-инфраструктуры

SMALL

от 2 800 до 3 800 $

Начальник отдела информационных технологий и технической защиты информации

ОГУ ГАСО • Саратов

от 55 000 до 60 000 ₽

Нужно, чтобы вход в Винду был через аутентификацию во внешнем сервисе? Какие версии Вендов интересуют?
Станислав Макаров: В винду обычный вход, просто параллельно с этими же данными пройти аутентификацию на внешнем сервисе. Пока только Windiws 7
Просто в Семерке и выше есть нормальные API для поставщиков учетных данных (в Семерке первая версия этого API, в Восьмерке и выше - вторая), а GINA это что-то из времён XP, имхо.
akass а, т.е. наоборот все-таки. Обычный это какой? В домене же?
Станислав Макаров: Вы про Credential Provider?
Станислав Макаров: Да, обычный в домене.
akass да, я про них, но это если бы у вас наоборот было - что у вас есть условно говоря база пользователей, и вам надо залогинить человека, пользуясь этой базой, при этом стандартными механизмами вроде домена вы пользоваться не хотите.
Как я теперь понимаю, вы наоборот, хотите залогиниться в обычную учетку в домене, но пройти также и авторизацию на внешнем сервисе.

Если этот сервис внешний по отношению к вашей компании, то вам бы не помешали Federation Services. Но этот внешний сервис должен уметь в SAML, да и вам придётся поднять на сервере эту роль. Внешний сервис достаточно умён для таких вещей?
akass вот типичный сценарий прямо с Вики ( https://en.wikipedia.org/wiki/Active_Directory_Fed... ). Это про вас?

In practice a user might typically perceive this approach as follows:

The user logs into their local PC (as they typically would when commencing work in the morning).
The user needs to obtain information on a partner company's extranet website - for example to obtain pricing or product details.
The user navigates to the partner-company extranet site - for example: example.com.
The partner website now does not require any password to be typed in - instead, the user credentials are passed to the partner extranet site using AD FS.
The user is now logged into the partner website and can interact with the website "logged in".
Станислав Макаров: Учетка в домене AD, надо по ней во время входа отправить запрос на CAS сервер и получить тикет для доступа к сервисам. Все это внутри компании. Цель вводить пароль только один раз. pGina как раз и есть обертка над GINA у старых систем и Credential Providers у новых. Вроде бы удобная система написания расширений. Но на данный момент она у меня как раз с доменами и конфликтует.