联合安全、单点登录和安全令牌共享
Federated security, Single Sign On and security token sharing
在单点登录 (SSO) 场景中,如果所有应用程序都 运行 在同一个 domain/company 中,
- 是否在所有应用程序(依赖方)之间共享相同的安全令牌,这些应用程序从同一公共身份提供者/安全令牌服务获得用户身份验证?任何 STS 的默认行为是什么?
例如。用户 A 登录到应用程序 X。一段时间后,她尝试访问应用程序 Y。由于她已经通过相同的 STS 进行身份验证,并且如果颁发给她的令牌仍未过期,则她无需提供凭据访问应用程序 Y.
- 我的理解是,如果令牌包含所有依赖方/应用程序所需的所有声明,则有可能。但这是一个好习惯吗?
- 当用户 A 连接到应用程序 Y 时,令牌(当用户登录到应用程序 X 时颁发)的到期时间可以是 extended/reset 吗?
WIF 通常表示 ADFS,
可以,只要所有 RP 使用相同的 STS。
否 - 在 ADFS 中,每个 RP 都有自己的声明配置。因此生成的令牌是不同的(尽管您可以根据需要简单地复制配置)。
在 WIF 中,是的。您需要使用“sliding token”机制。
在单点登录 (SSO) 场景中,如果所有应用程序都 运行 在同一个 domain/company 中,
- 是否在所有应用程序(依赖方)之间共享相同的安全令牌,这些应用程序从同一公共身份提供者/安全令牌服务获得用户身份验证?任何 STS 的默认行为是什么? 例如。用户 A 登录到应用程序 X。一段时间后,她尝试访问应用程序 Y。由于她已经通过相同的 STS 进行身份验证,并且如果颁发给她的令牌仍未过期,则她无需提供凭据访问应用程序 Y.
- 我的理解是,如果令牌包含所有依赖方/应用程序所需的所有声明,则有可能。但这是一个好习惯吗?
- 当用户 A 连接到应用程序 Y 时,令牌(当用户登录到应用程序 X 时颁发)的到期时间可以是 extended/reset 吗?
WIF 通常表示 ADFS,
可以,只要所有 RP 使用相同的 STS。
否 - 在 ADFS 中,每个 RP 都有自己的声明配置。因此生成的令牌是不同的(尽管您可以根据需要简单地复制配置)。
在 WIF 中,是的。您需要使用“sliding token”机制。