java - SSO - 中央身份验证服务 (CAS) - 用于生产？

Question

人们是否在银行/金融服务项目中使用中央认证服务 (CAS)？它是生产使用的可靠框架吗？

更新:-

用户详细信息存储在 Active Directory 中，但与 Windows 登录无关。

我们有大约 5 个不同的相关网络应用程序(单独的 war )，它们可能有共同的用户。我们计划实现一个通用的 Web 应用程序，它使用 spring security 来处理登录机制。此应用程序会将 Spring 安全上下文传递给所有其他也将使用 Spring 安全性的 Web 应用程序。

除此之外，我们还使用 2 因素身份验证。

在进行一些搜索后，CAS 似乎有助于实现 SSO(以及 Spring Security)，但我只是想确保它是否可以用于金融服务项目生产系统？？

Answer 1

请注意，单点登录 (SSO) 有两种主要类型。

我称之为“企业 SSO”，它使用用户用来登录其工作站的 Mircosoft Active Directoy 凭据来访问其他资源，例如使用 IE 等浏览器的内置 SSO 功能的网站。使用的底层协议(protocol)是 Kerberos 或 NTLMv2(又名 SPNEGO 以协商 Kerberos 或 NTLMv2)。这使得它成为真正的“单点”登录，因为用户在登录到他们的工作站时只输入一次密码。可以执行此类 SSO 的解决方案并不多。显然打开了 IWA 的 IIS 就是一个。

然后还有许多其他网站解决方案，这些解决方案实际上将客户端重定向到另一个中心网站，该网站对客户端进行身份验证，然后使用某种 token 将它们重定向回原始站点。这种类型的 SSO 在 Internet 上很常用(比如当您使用 google 凭据登录 stackexchange 时)，但在企业环境中也并非完全不常见。它在学术机构中很流行，在这些机构中，学生可以使用他们能找到的任何计算机，并且首先不使用域凭据登录。

因此，在像银行/金融机构这样的企业环境中，我认为“企业 SSO”是最直接的，因此也是最好的解决方案。对于非企业 SSO 解决方案，身份验证步骤通常需要密码，因此它不是真正的 SSO。您必须先登录到工作站，然后再登录到 SSO 中心网站，然后您才能访问参与该特定 SSO 解决方案的任何站点。而且它需要运行额外的服务。

但不要在 Google 上搜索“企业 SSO”，因为所有内容都以“企业”进行营销。将“Kerberos”、“NTLMv2”、“Active Directory”等搜索词与“SSO”和您的服务器编程环境结合使用。