1. Inicio
  2. Pregunta y respuesta
  3. ¿Puede un proveedor de OpenID usar Kerberos u otros mecanismos de autenticación "alternativos"?

¿Puede un proveedor de OpenID usar Kerberos u otros mecanismos de autenticación "alternativos"?

2012-02-20 17 views
5

Estamos en un entorno de autenticación complejo y necesitamos respaldar la autenticación frente a una cantidad de fuentes diferentes en las aplicaciones que estamos desarrollando. Como no queremos duplicar el código de autenticación en todas partes, estamos evaluando la posibilidad de combinar las diversas fuentes de autenticación con un único proveedor de OpenID, y todas las aplicaciones dependen de ese servicio.¿Puede un proveedor de OpenID usar Kerberos u otros mecanismos de autenticación "alternativos"?

Las fuentes que tenemos para permitir la autenticación contra son cosas como Active Directory nombre de usuario/contraseña, Kerberos, LDAP genérico, proveedores de OpenID externos, etc.

Por ejemplo, en el caso de Kerberos, cuando el usuario pulsa el OpenID la página de autenticación del proveedor, si puede autenticarse con Kerberos y ya ha otorgado permiso a la aplicación solicitante, el usuario se autenticará de forma transparente como si se ingresara una contraseña y se le devolverá a la aplicación solicitante.

Entonces, la pregunta es: ¿Podemos tener un proveedor de OpenID que maneje la autenticación a través de todos estos métodos? ¿El proveedor debe implementar cómo autentica a los usuarios de una manera específica?

Fuente

2012-02-20 cdeszaq

+0

Este es un caso de uso interesante. ¿Cómo planifica su equipo gestionar el caso en el que existe una identidad de autenticación en múltiples backends? –

+0

@TerryGardner, El usuario, en ese caso, tendrá la opción de autenticarse con el método que desee. El proveedor de OpenID podría, en teoría, conectar identidades de diferentes fuentes, por lo que el servicio puede autenticarse automáticamente si es posible y recurrir a un método de autenticación manual si es necesario. P.ej. pruebe Kerberos primero y luego recurra a un par de nombre de usuario/contraseña de Active Directory. Desde la perspectiva de la aplicación solicitante, es solo un proveedor de OpenID, que mantiene las cosas simples y agradables, llevando toda la complejidad de autenticación al servicio de autenticación de envoltura. – cdeszaq

+0

Ya veo. En ese caso, no entiendo la pregunta. ¿Has leído y entiendes la especificación [OpenID] (http://openid.net/specs/openid-authentication-2_0.html)? –

Respuesta

1

La especificación de OpenID 2.0 no especifica cómo autenticar usuarios en el proveedor de OpenID allí porque es específico del proveedor. Así que mi respuesta es Sí, puedes tener un proveedor de OpenID que maneje la autenticación a través de todos esos métodos, pero tienes que descubrir cómo, por ejemplo, cómo decidir qué entradas presentar a Kerberos para el proveedor de OpenID depende de ti.

Fuente

2012-04-24 06:31:50 SureshAtt

+0

¿Hay algo en el flujo de autenticación OpenID que entraría en conflicto con un esquema de autenticación de Kerberos entre el usuario y la aplicación del proveedor OpenID? – cdeszaq

+0

No, cómo autentica al usuario en el proveedor de OpenID no entra en conflicto con el protocolo de autenticación de OpenID. – SureshAtt

Cuestiones relacionadas

 Cuestiones relacionadas