python - Decentraliseret godkendelse mod Windows-domæne

Indlæg af Hanne Mølgaard Plasc

Problem



Der er mange løsninger til tredjeparts decentraliseret godkendelse, der er ret enkle at oprette: log ind med Facebook credentials, OpenID, OAuth osv.


Hvordan kan jeg gøre noget lignende inden for firewallen, i et Windows-domæne-miljø?


Scenariet:



  • Python webapplikation inde i firewallen, hostet på en Linux-server.

  • Brugere har Windows-desktops og autentificer til et Windows-domæne



Jeg ved, at jeg kan validere et brugernavn/adgangskode mod Active Directory ved hjælp af LDAP, men det er ikke det, jeg vil have. Jeg vil ikke have, at min app skal håndtere brugernavn/adgangskode overhovedet. Jeg vil have, at det fungerer som OpenID gør, dvs. min app omdirigerer brugeren til en slags Windows-identitetsudbyder-webside.


Er der en out-of-the-box Windows/IIS løsning til dette?


EDIT:



  • Kunne Windows Identity Foundation være det jeg leder efter? Eller måske WIF har byggestenene? ​​


Bedste reference


Med risiko for at give for mange svar, lyder det for mig, at ADFS 2.0 er din vej af mindste modstand. Hvad angår integration af kravbaseret adgang til din python-applikation, har jeg set pysaml2 anbefalet som en måde at gøre dette på, men jeg kan ikke tale fra erfaring. [1] [2] [3]

Andre referencer 1


Jeg er ikke en Windows-fyr, men Crowd fra Atlassian: [4]



  • Kører på Windows

  • Kan godkende mod Active Directory

  • Inkluderer en OpenID-udbyder



Så hvis du kan bruge OpenID, kan du have alt, du har brug for.

Andre referencer 2


WIF sammen med Azure ACS vil give dette ud af boksen. f.eks. Tilføjelse af en tilpasset OpenID-udbyder til ACS ... med kun en linje af PowerShell-koden. [5]


Eller du kan integrere med Dot Net Open Auth enten med din egen STS eller ved hjælp af noget som Identity Server. [6] [7]