SSO - Центральная служба аутентификации (CAS) - для производства?

1

Используют ли службы централизованного удостоверения подлинности (CAS) проекты банковского/финансового обслуживания? Является ли это надежной основой для использования в производстве.

Обновлено: -

Данные пользователя хранятся в Active Directory, но не связаны с входом в Windows.

У нас есть около 5 различных связанных веб-приложений (отдельные войны), которые могут иметь общих пользователей. Мы планируем внедрить одно общее веб-приложение, которое заботится о механизме входа в систему, используя весеннюю безопасность. И это приложение перенесет контекст безопасности Spring во все другие веб-приложения, которые также будут использовать весеннюю безопасность.

Наряду с этим мы также используем двухфакторную аутентификацию.

После выполнения некоторых запросов кажется, что CAS поможет достичь единого входа (наряду с Spring Security), но я просто пытаюсь обеспечить, можно ли его использовать в системе производства проектов финансовых услуг?

Теги:
spring-security
spring
cas

4 ответа

1
Лучший ответ

Я - председатель CAS и основатель CAS в облаке (https://www.casinthecloud.com).

CAS является веб-SSO и поддерживает Kerberos и SPNEGO. Так что да, это может быть Enterprise SSO.

CAS - готовая продукция: для большой компании я использую ее для миллионов пользователей и сотни веб-сайтов.

Я не уверен, что полностью согласен с продуктами "back channel"/"front channel". SAML является стандартом для федерации, поэтому, если у вас есть две основные организации с собственным SAML IdP, вы сможете объединять идентификаторы. Для других случаев использования я предпочитаю CAS, который намного проще и имеет большое сообщество с большим количеством клиентов CAS.

  • 0
    Большое спасибо, это помогает.
2

Я работаю в огромной компании в Германии (не в списке в моем списке), с сотрудниками 300k+. Мы используем CAS для ряда приложений, но нашей основной стратегией является SAML. Основной причиной SAML является "передний канал" - вы можете надежно передавать утверждения через браузер.

Это имеет огромные преимущества в крупном предприятии, так как очень часто части сети имеют межсетевые экраны, поэтому решения "обратного канала" (например, CAS) не всегда работают.

С помощью SAML вы могли бы, например, использовать полностью внешнюю службу, такую как Salesforce, с провайдером идентификации вашей компании SAML. Почти из коробки.

Обратите внимание, что мои знания о производстве CAS составляют ~ 4 года. Возможно, я ошибаюсь в отношении "обратного канала" для CAS, пожалуйста, перепроверьте это.

Хорошо, немного больше понимания, связанного с обновлением вашего вопроса.

  • Мы также используем AD как каталог пользователя.
  • Наш провайдер идентификации (в основном, где вы входите в систему) реализует x-factor auth (услуги SMS и токенов).
  • Мы используем стандартные решения SAML, мы не реализуем проприетарные вещи.
  • Извините, я не упоминал об этом раньше - я не занимаюсь финансами/банковским обслуживанием, но у нас есть приложения с очень широким спектром требований безопасности.
  • Я знаю людей, которые используют CAS в финансовом секторе. Howere, это не предметная область имеет значение, это требования безопасности, которые имеют значение.
  • У меня был положительный опыт работы с Spring Security в прошлом, но это не технология выбора в текущей компании (более JBoss).

CAS, безусловно, хорошая вещь и определенно будет работать. Однако обычно это не технология, которая терпит неудачу, как вы используете ее в контексте. Если у вас нет большого опыта работы в этой области, обратитесь за консультацией или к профессиональному пентесту. Слишком много вещей можно сделать "немного неправильно" и привести к серьезным последствиям.

Я пишу все это - и я даже не профессионал в области безопасности, я архитектор, который разрабатывает эти приложения для выполнения (в зависимости от других) своих требований безопасности.

  • 0
    Большое спасибо за полезную информацию. Я бы проверил на SAML. Пожалуйста, смотрите мой обновленный вопрос.
  • 0
    @Jay Посмотри мое обновление.
Показать ещё 1 комментарий
2

Обратите внимание, что существуют два основных типа Single Sign-On (SSO).

Существует то, что я называю "Enterprise SSO", в котором используются учетные данные Mircosoft Active Directoy, которые пользователь использовал для входа на свою рабочую станцию, чтобы получить доступ к другим ресурсам, например веб-сайтам, используя встроенную функцию единого входа в браузерах, таких как IE. Основным используемым протоколом является Kerberos или NTLMv2 (aka SPNEGO для NEGOtiate Kerberos или NTLMv2). Это делает его истинным "одиночным" знаком, потому что пользователь вводит пароль только один раз, когда они входят в свою рабочую станцию. Существует не так много решений, которые могут выполнять этот тип единого входа. Очевидно, что IIS с включенным IWA - это один.

Затем есть множество других решений для веб-сайтов, которые фактически перенаправляют клиента на другой центральный веб-сайт, который аутентифицирует клиента, а затем перенаправляет их обратно на исходный сайт с помощью какого-то токена. Этот тип SSO обычно используется в Интернете (например, при входе в stackexchange с использованием ваших учетных данных Google), но это также не совсем редко встречается в корпоративной среде. Он популярен в академических учреждениях, где студенты используют любой компьютер, который они могут найти, и не вошли в систему с учетными данными домена в первую очередь.

Поэтому в такой корпоративной среде, как банк/финансовая организация, я считаю, что "Enterprise SSO" является самым прямым и, следовательно, превосходным решением. С решением для не-Enterprise SSO для этапа аутентификации обычно требуется пароль, поэтому он не является истинным SSO. Вам необходимо войти в рабочую станцию, а затем войти в систему на центральном веб-сайте единого входа, а затем у вас есть доступ к любым сайтам, которые участвуют в этом конкретном решении SSO. И для этого требуется дополнительная услуга.

Но не Google для "Enterprise SSO", потому что все продается как "Предприятие". Используйте термины поиска, такие как "Kerberos", "NTLMv2", "Active Directory" совместно с "SSO" и вашей серверной программной средой.

  • 0
    Большое спасибо за информацию. Пожалуйста, смотрите мой обновленный вопрос.
1

Обычно вы используете SSO внутри большой организации. Он позволяет членам организации входить в любое внутреннее приложение с одинаковыми учетными данными с одним местом для управления паролями. Но в этом случае организация имеет полный контроль над сервером CAS и может быть уверена в этом.

Ещё вопросы

Сообщество Overcoder
Наверх
Меню