Путаница с единым входом — включение сложностей с SSL

У меня есть WebSphere на сервере AIX и простой java-клиент на Windows XP (подключается к серверу через http). Я хотел бы включить SSL для аутентификации клиента. В основном, у меня есть устройство для чтения смарт-карт.

Единственная проблема заключается в том, что смарт-карта уже используется один раз для доступа к Windows, и мы хотели бы избавить клиента от повторного ввода PIN-кода при запуске клиентского приложения.

Я начал много читать об SSO, который, как меня уверяли, может решить мою проблему. Это привело меня к тому, что я прочитал о поддержке WebSphere SPENGO в их красных книгах. Проблема в том, что это предполагает большую поддержку со стороны людей из Active Directory - и они не очень хотят помогать - и я также боюсь, что их участие может замедлить интеграцию.

Итак, теперь я изучаю OpenSSO, WAFFLE, JOSSO и другие фреймворки, которые могут мне помочь.

Но подождите - все это кажется серьезным превышением спецификации. Все, что я хотел, это сохранить для моего клиента вторую подсказку на смарт-карте. То, что я действительно хочу, это метод - один из следующих:

- Параметр Windows XP и более поздних версий, который позволит мне восстановить сертификат внутри смарт-карты (наряду с некоторым доступом к возможностям шифрования/дешифрования для аутентификации сертификата).

-Какой-то доступ к окнам, чтобы позволить мне эти параметры

-Возможно, какой-то метод java pkcs # 11, который позволит мне получить доступ к тому же соединению, что и Windows.

- Является ли такая способность специфичной для продавца?

Это вообще возможно? Запись единого входа Википедии http://en.wikipedia.org/wiki/Single_sign-on говорит об SSO со смарт-картами, но пока я не смог найти способ, как это сделать. Все, что я знаю, это то, что моя смарт-карта выдает запрос во второй раз, если я пытаюсь использовать ее с обычным кодом pkcs#11.

Подводя итог: 1. Есть ли специфические для Windows/verndor/java функции, позволяющие мне использовать систему единого входа с помощью смарт-карты. 2. Если нет или если это не рекомендуется, какое другое решение SSO мне следует использовать, учитывая, что я не хочу зависеть от людей из Active Directory? 3. В худшем случае, когда SSO может быть эффективно достигнут только с помощью Kerberose и ActiveDirectory — какая реализация может быть менее требовательной со стороны ActiveDirectory?

Спасибо.


windows java single-sign-on smartcard josso
person user967710    schedule 30.01.2013    source источник
comment
Все, что я знаю, это то, что моя смарт-карта выдает запрос во второй раз, если я пытаюсь использовать ее с обычным кодом pkcs#11. Что вы подразумеваете под обычным кодом PKCS#11? Этот код Java использует поставщика PKCS11? В системе Windows Java также устанавливает CAPI- на основе поставщика. Вы исследовали это? Этот вопрос может быть актуальным.   -  person erickson    schedule 30.01.2013
comment
Я имею в виду код, похожий на javaandcryptosmartcards.blogspot. co.il/2009/05/   -  person user967710    schedule 30.01.2013
comment
См. также stackoverflow. com/questions/13873666/, мы пошли по пути GINA, но будьте осторожны, это занимает много времени и требует подписи Microsoft.   -  person Maarten Bodewes    schedule 31.01.2013