Приветствую, уважаемые.
С SSO раньше никак не сталкивался, поэтому нахожусь в растерянности и прошу помощи. Задача следующая - есть несколько приложений на разных доменах (все приложения мои), надо обеспечить единый вход - достаточно залогиниться в одно, чтобы получить доступ ко всем приложениям. То же самое с выходом. Что-то не совсем понимаю, в ту ли сторону я копаю - сейчас смотрю на OpenID, планирую свой сервер поднимать. Все верно делаю?

pilot911krot-sПриветствую, уважаемые.
С SSO раньше никак не сталкивался, поэтому нахожусь в растерянности и прошу помощи. Задача следующая - есть несколько приложений на разных доменах (все приложения мои), надо обеспечить единый вход - достаточно залогиниться в одно, чтобы получить доступ ко всем приложениям. То же самое с выходом. Что-то не совсем понимаю, в ту ли сторону я копаю - сейчас смотрю на OpenID, планирую свой сервер поднимать. Все верно делаю?

есть разные варианты авторизации - центральный домен, с которого грузится на все сайты картинка, с которой устанавливается кука и тп
а можно подробнее?

Товарищи, а какие еще технологии/протоколы, кроме openid и oauth, существуют для решения задач междоменной аутентификации(в расчет берутся только открытые стандарты и реализации, работающие на unix системах)?

Petro123,
Задача несколько больше и сложнее, чем я описал, постараюсь вкратце изложить.
Есть N-e количество веб-приложений, каких для задачи не важно, linux дистрибутив под которым работают пользователи и единая база пользователей. Логин/пароль для пользовательских станций и приложений единый, залогиниться в них можно только при наличии коннекта к сети. После того, как пользователь успешно прошел аутентификацию на десктопе, он должен автоматически логиниться во все приложения, без всяких форм входа и других вопросов. Для аутентификации в linux по сети можно взять готовый или написать свой pam модуль, который будет "общаться" с сервером аутентификации. Но после того, как пользователь залогинился в систему и запустил браузер никакой куки с номером сессии еще не установлено - эту проблему думаю решить написанием небольшого плагина к браузеру.
При всем этом приложения должны быть доступны и с других машин/браузеров. В этом случае у пользователя при открытии первого же приложения запрашивается логин/пароль и далее все идет свои чередом.
Хочется минимизировать изобретение велосипедов и по возможности использовать готовые решения.
В голове крутятся OpenID, SAML 2. Но единой картины как это реализовать пока нет.

Petro123Чтобы не делать велосипед - опиши подробнее.
есть пользователи, у каждого из них на компе linux, который мы можем настраивать как хотим, у юзера прав админа нет, так что поломать ничего не может. территориально пользователи разбросаны - могут быть в разных офисах, дома, на канарах :)
при включении запрашивается логин/пароль, который проверяется сервером аутентификации на основании единой базы пользователей.
после успешного входа запускается chromium (строго определенной версии, с любыми нашими фиксами и патчами). когда пользователь открывает наши приложения он должен автоматически в них логиниться, без ввода пароля.

второй юзкейс: пользователь открывает наше приложение app1.domain.com с любого компа (например виндовая машина с ie6), у него запрашивается логин/пароль (тот же, что он вводил для linux машины) и далее, при открытии любого другого приложения , например app2.domain.com, производится автоматическая аутентификация.
Вот как-то так. Понимаю, что в корпоративной среде уже давно такое сделано тысячу раз, только надо найти. В то же время не хочется брать монстрообразное решение, которое потом под себя не настроишь. Ну и естественно должно быть free opensource :)

rabiterkrot-s,

А на чем веб приложения, на Java?
да. spring + gwt

Petro123krot-s,
авторкоторый проверяется сервером аутентификации
вар№1
- этот сервер доступен для всех приложений
- при входе в приложение, серверная часть сама обращается к этому серверу.
что они (серверная часть) при этом пересылает серверу аутентификации?

rabiterkrot-s,

Все же гляньте в сторону OpenAM, возможно подойдет.
Кратко опишу как это работает.

Для начала надо надо развернуть приложение OpenAm (war файл из поставки) - так называемый Access Manager. В нем настраивается единая база данных пользователей (LDAP например, или ваша HandCoded база).
На каждом сервере где установлено приложение, нужно поставить агента - тоже из поставки OpenAm.
Агент - это маленькое веб приложение, которое знает адрес Access Manager'а.
В ваших веб-приложениях в web.xml прописывается фильтр запросов (класс из дистриба OpenAm), который фильтрует все запросы и проверяет пользователя на факт наличия авторизации - обращается к агенту, а агент в свою очередь в Access Manager.
Если пользователь не авторизован, то браузеру отправляется команда редирект на страничку авторизации, которая находится на Access Manager.
Таким образом все приложения не будут иметь свою систему аутентификации/авторизации, а будут обернуты авторизацией OpenAm.
Спасибо за совет, обязательно посмотрю.
Не сочтите за труд еще на пару вопросов ответить:
1. Что именно фильтр получает из запроса и передает агенту? Я так понимаю что-то типа номера сессии?
2. Можно ли как-то заставить openam открыть сессию и вернуть ее номер, предоставив ему логин/пароль? Я хочу написать pam модуль для linux, который будет по rest или через веб-сервис передавать openam логин/пароль пользователя и в случае успешной аутентификации сохранять номер сессии где-то в файле или памяти (прошу особо не ругать, знаю что это небезопасно. Пока это только идея, дальше будут еще думать). Позже плагин браузера будет читать номер сессии и включать его в каждый запрос к моим приложениям.

rabiterrabiter,

А почему у вас авторизация должна происходить в десктопном приложении? Почему бы пользователям не использовать веб страничку логина, которую предлагает Access Manager?
Авторизовавшись в такой страничке, пользователи могли бы пользоваться всеми приложениями, находящимися под опекой OpenAm.
Потому что сессии менеджера окон (не знаю как правильно обозвать gnome/kde/etc) на этот момент еще нет. Пользователи проходят аутентификацию в xdm