SSOのLDAPを使用してユーザーを認証する

Question

私はWindowsアプリケーション用にSSOを実装することになっています。現在、ユーザがマシンにログインした後、アプリケーションをロードするときに、ユーザはアプリケーションに再ログインする必要があります。アプリケーションは、LDAPサーバーを照会することによってユーザーを検証します。

私たちが探しているのは、ユーザーがクリックすると自動的にアプリにログインするためです。私の理解では、LDAP認証はまだ行われる必要がありますが、ワークフローの内容とユーザー名/パスワードを再入力することなくユーザーを検証する方法については正確にはわかりません。次のようにだから私の具体的な質問があり、これは、Webアプリケーションではないことに注意してくださいので、私はSAMLやOAuthのようなツールを使用することはできません

（私もこのことについて誤解していない限り..？）：

がそれですSSOのためにLDAPを使用することは可能ですか？自分のユーザー名だけでユーザーを認証することは可能ですか、パスワードも必要ですか？

ご了承いただけると幸いですが、必要に応じて詳細をお知らせいたします。

Answer 1

まず、LDAPはこのプロトコルを実装するデータベースと通信するために使用するプロトコルです。

LDAPデータベース（一般にディレクトリと呼ばれる）はデータベースなので、SSO機能を提供しません。

SSOソリューションを展開するには、SSOサービスが必要です。あなたのすべてのアプリケーションは、このサービスとある意味で "合致"する必要があります。

サードパーティのアプリケーションを追加せずに「Windows SSO」を作成する唯一の方法は、クライアントが行った要求でアプリケーションがNTLM情報を取得し、ユーザーデータを使用してそのユーザーを識別できることです。 （しかし、セキュリティの面では、私はあなたがそれについて何を考えているか判断させる））。容易ではありません、GSSAPIをサポートしている「ブラウザ」からSSOを実行することが可能であるが、OpenLDAPのを含めSee this php example

Answer 2

一部のLDAP実装は、サポートのいくつかのレベルGeneric Security Service Application Program Interface (GSSAPI)またはSPNEGO（特定のGSSAPI実装）

を提供しています。 AFIK、IE、Firefox、SafariおよびChromeはすべて、各ブラウザが特定の設定（通常はサーバのホワイトリスト）を必要とするものの、GSSAPIのサポートをいくつか提供します。

これらの機能を実装する多くのSSO製品が、「おそらく」安全で簡単なプロセスで実装されています。

多くの既知の脆弱性の詳細は、実装上の問題のためにGSAPPI/SPNEGOで悪用されています。