当前位置:主页 > 云存储 > 云服务 >

百度云_云主机是什么_代金券

  • 云服务
  • 2021-09-08 12:14
  • 动埠云

在我以前的博客中,我使用Kerberos和SAML为SAP BusinessObjects Cloud和HANA创建了一个端到端SSO体验,物联网,我向您介绍了一个基于SAML 2和Kerberos/SPNego的BOC和远程HANA端到端SSO解决方案。在这个博客中,我将探索另一种方法来实现基于SAML 2和X.509客户端证书身份验证的相同体验。

在较高级别上,我们希望在Web浏览器和SAML 2身份提供程序(IdP)之间设置X.509客户端证书身份验证,并为BOC和HANA设置SAML 2身份验证最终用户只需点击浏览器书签中的BOC URL,大数据分析数据库,就可以直接登录BOC,而无需手动输入用户名和密码。

不幸的是,这种设置没有我之前写的Kerberos/SPNego那么简单。客户端证书身份验证是SSL协议的一部分,世界人工智能,并且由于存在终止SSL连接的反向代理,因此在Web浏览器和saml2idp之间不能进行本机客户端证书身份验证。但在满足以下条件的情况下,该方案仍然有效:

1。反向代理能够将客户机证书包装到HTTP报头中,并将它们传递到saml2idp2saml2idp能够基于包含用户的客户端证书的HTTP报头对用户进行身份验证

显然这将成为一个定制/专有的解决方案,并且并非所有saml2idp都支持这种定制的客户端证书身份验证机制。更重要的是,由于此自定义客户端证书身份验证过程不再是SSL握手机制的一部分,因此它将丢失对用户证书的强验证。因此,从安全角度来看,SAML 2 IdP只接受来自可信反向代理的客户端证书非常重要,在这种情况下,是BOC系统的反向代理。

下图说明了它的工作原理。希望这足够简单,但我想指出这个解决方案的优点和缺点:

优点:–此端到端SSO解决方案可在Intranet和Internet上运行

缺点–需要一个PKI基础设施来分发和管理用户的客户端证书。–并非所有saml2idp和反向代理都支持这种自定义客户端证书身份验证机制。–性能比Kerberos/SPNego稍慢。

SAP NetWeaver SSO SAML 2 IdP支持这种定制的客户端证书验证机制。要配置它,请执行以下步骤:1在SAML 2 IdP的底层AS Java引擎上配置X.509客户端证书身份验证:在SAP NetWeaver AS for Java上使用X.509客户端证书。2通过执行附加步骤:通过中间服务器使用客户端证书,云服务器设备,通过反向代理启用自定义客户端证书身份验证机制。三。将客户端证书身份验证添加到SAML 2 IdP的身份验证上下文列表中:添加自定义身份验证上下文。

在Apache反向代理上,我们需要将其配置为执行以下操作:1启用客户端证书身份验证2将客户机证书信息包装到HTTP报头中,并将它们转发到SAML IdP。请注意,这些头文件可能很长,因此我们需要仔细配置Apache规则,以便它们仅转发到SAML 2 IdP系统,而不是BOC或HANA,云服务器 免费,因为性能原因。

以下是一个示例配置:

享受在BOC和HANA中浏览而不必键入用户ID和密码,曾经:)!

猜你喜欢

微信公众号