Bonsoir à tous !

Dans le cadre d'un projet, je dois mettre en place un système SSO sur une application web développée en J2EE. Le système doit récupérer les identifiants de la session Windows dans l'active directory afin de connecter automatiquement l'utilisateur à l'application web.

Je suis actuellement en pleine phase de documentation et je commence à avoir une idée de comment faire. Pouvez-vous me dire si je m'y prends correctement (outils, raisonnement, etc...).

Si j'ai bien compris, il faut que j'utilise l'outil qui s'appelle JNDIRealm. Ainsi, en configurant correctement les fichiers web.xml de mon application et context.xml de mon server tomcat, je dois pouvoir automatiquement savoir si l'utilisateur est accepté ou pas.

D'après la documentation officielle, la techno JNDIRealm me permet d'identifier directement mon utilisateur ou de récupérer les identifiants afin de les comparer avec ceux de ma base de données ? Est-ce que le deuxième scénario est vraiment réalisable ou est-ce qu'il pose des problèmes de sécurité ?

Merci d'avance pour vos éclairages et votre aide !

EDIT : Plus j'en lis sur le sujet et plus je me perds. J'ai vu qu'il existe des solutions autres que JNDIRealm comme par exemple JOSSO ou JAAS. Quelles sont les différences entre ces outils ? Permettent-ils tous la même chose ? Matchent-ils tous avec Active directory ?

Merci d'avance pour votre aide !