Single Sign-On на основе логин/пароля windows?

Question

akass @akass

Developer

Single Sign-On на основе логин/пароля windows?

Есть необходимость сделать SSO на основе логин/пароля винды. Чтобы после входа в систему делать запрос на внешний сервис и получать токен. Как лучше это сделать? Сейчас пытаюсь кастомизировать вход в винду (pGINA) но что-то не очень мне это нравится

Вопрос задан более трёх лет назад
555 просмотров

9 комментариев

Подписаться 5 Оценить 9 комментариев

Станислав Макаров @Nipheris

Нужно, чтобы вход в Винду был через аутентификацию во внешнем сервисе? Какие версии Вендов интересуют?

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: В винду обычный вход, просто параллельно с этими же данными пройти аутентификацию на внешнем сервисе. Пока только Windiws 7

Написано более трёх лет назад
Станислав Макаров @Nipheris

Просто в Семерке и выше есть нормальные API для поставщиков учетных данных (в Семерке первая версия этого API, в Восьмерке и выше - вторая), а GINA это что-то из времён XP, имхо.

Написано более трёх лет назад
Станислав Макаров @Nipheris

akass а, т.е. наоборот все-таки. Обычный это какой? В домене же?

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: Вы про Credential Provider?

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: Да, обычный в домене.

Написано более трёх лет назад
Станислав Макаров @Nipheris

akass да, я про них, но это если бы у вас наоборот было - что у вас есть условно говоря база пользователей, и вам надо залогинить человека, пользуясь этой базой, при этом стандартными механизмами вроде домена вы пользоваться не хотите.
Как я теперь понимаю, вы наоборот, хотите залогиниться в обычную учетку в домене, но пройти также и авторизацию на внешнем сервисе.

Если этот сервис внешний по отношению к вашей компании, то вам бы не помешали Federation Services. Но этот внешний сервис должен уметь в SAML, да и вам придётся поднять на сервере эту роль. Внешний сервис достаточно умён для таких вещей?

Написано более трёх лет назад
Станислав Макаров @Nipheris

akass вот типичный сценарий прямо с Вики ( https://en.wikipedia.org/wiki/Active_Directory_Fed... ). Это про вас?

In practice a user might typically perceive this approach as follows:

The user logs into their local PC (as they typically would when commencing work in the morning).
The user needs to obtain information on a partner company's extranet website - for example to obtain pricing or product details.
The user navigates to the partner-company extranet site - for example: example.com.
The partner website now does not require any password to be typed in - instead, the user credentials are passed to the partner extranet site using AD FS.
The user is now logged into the partner website and can interact with the website "logged in".

Написано более трёх лет назад
akass @akass Автор вопроса

Станислав Макаров: Учетка в домене AD, надо по ней во время входа отправить запрос на CAS сервер и получить тикет для доступа к сервисам. Все это внутри компании. Цель вводить пароль только один раз. pGina как раз и есть обертка над GINA у старых систем и Credential Providers у новых. Вроде бы удобная система написания расширений. Но на данный момент она у меня как раз с доменами и конфликтует.

Написано более трёх лет назад

Решения вопроса 1

2 комментария

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows

Простой
Как дублировать ввод мыши и клавиатуры в разных окнах одного приложения?
- 1 подписчик
- 7 часов назад
- 20 просмотров
0

ответов
Компьютерные сети

+4 ещё

Средний
Как настроить маршрутизацию трафика с использованием двух сетевых карт для выхода на перечень адресов (сайтов) ТОЛЬКО через одну сетевую карту?
- 1 подписчик
- 8 часов назад
- 48 просмотров
2

ответа
Windows

+1 ещё

Простой
Как исправить ошибку driver irql_not_less_or_equal?
- 1 подписчик
- 15 часов назад
- 59 просмотров
2

ответа
Windows

Простой
Как убрать белую рамку windows 10?
- 1 подписчик
- 16 часов назад
- 116 просмотров
1

ответ
Windows

+1 ещё

Простой
Что может тормозить скорость интернета?
- 2 подписчика
- вчера
- 165 просмотров
0

ответов
Windows

Простой
Не разобрался с приложением для изменения голоса в реальном времени (hugging face). Можете помочь?
- 1 подписчик
- вчера
- 71 просмотр
0

ответов
Сетевое администрирование

+2 ещё

Средний
Как включить HBA на HP Array P420I (hp proliant dl380p gen8)?
- 2 подписчика
- вчера
- 92 просмотра
1

ответ
Системное администрирование

Средний
Почему некорректно отрабатываются ссылки на сетевые папки?
- 1 подписчик
- вчера
- 82 просмотра
1

ответ
Windows

+1 ещё

Простой
Какие есть аналоги Proxifier?
- 2 подписчика
- вчера
- 380 просмотров
2

ответа
Windows

+1 ещё

Простой
Какие есть хорошие фаерволы для ПК на Windows 11?
- 5 подписчиков
- вчера
- 975 просмотров
0

ответов
Показать ещё Загружается…

Системный / сетевой администратор (Linux/Windows, облачный провайдер)

Cloud4Y • Москва

от 200 000 до 300 000 ₽

Системный инженер (Windows/Astra Linux)

Гринатом • Новосибирск

До 57 000 ₽

Системный администратор AD

Мечел-ИнфоТех • Москва

от 140 000 ₽

Сделать бэкап сайта(форума) и установить его на сервер

23 нояб. 2024, в 04:31

2000 руб./за проект

Смонтировать видео

23 нояб. 2024, в 01:31

1000 руб./за проект

Настроить сайт

23 нояб. 2024, в 00:16

2000 руб./за проект

Нужно, чтобы вход в Винду был через аутентификацию во внешнем сервисе? Какие версии Вендов интересуют?
Станислав Макаров: В винду обычный вход, просто параллельно с этими же данными пройти аутентификацию на внешнем сервисе. Пока только Windiws 7
Просто в Семерке и выше есть нормальные API для поставщиков учетных данных (в Семерке первая версия этого API, в Восьмерке и выше - вторая), а GINA это что-то из времён XP, имхо.
akass а, т.е. наоборот все-таки. Обычный это какой? В домене же?
Станислав Макаров: Вы про Credential Provider?
Станислав Макаров: Да, обычный в домене.
akass да, я про них, но это если бы у вас наоборот было - что у вас есть условно говоря база пользователей, и вам надо залогинить человека, пользуясь этой базой, при этом стандартными механизмами вроде домена вы пользоваться не хотите.
Как я теперь понимаю, вы наоборот, хотите залогиниться в обычную учетку в домене, но пройти также и авторизацию на внешнем сервисе.

Если этот сервис внешний по отношению к вашей компании, то вам бы не помешали Federation Services. Но этот внешний сервис должен уметь в SAML, да и вам придётся поднять на сервере эту роль. Внешний сервис достаточно умён для таких вещей?
akass вот типичный сценарий прямо с Вики ( https://en.wikipedia.org/wiki/Active_Directory_Fed... ). Это про вас?

In practice a user might typically perceive this approach as follows:

The user logs into their local PC (as they typically would when commencing work in the morning).
The user needs to obtain information on a partner company's extranet website - for example to obtain pricing or product details.
The user navigates to the partner-company extranet site - for example: example.com.
The partner website now does not require any password to be typed in - instead, the user credentials are passed to the partner extranet site using AD FS.
The user is now logged into the partner website and can interact with the website "logged in".
Станислав Макаров: Учетка в домене AD, надо по ней во время входа отправить запрос на CAS сервер и получить тикет для доступа к сервисам. Все это внутри компании. Цель вводить пароль только один раз. pGina как раз и есть обертка над GINA у старых систем и Credential Providers у новых. Вроде бы удобная система написания расширений. Но на данный момент она у меня как раз с доменами и конфликтует.