Discussion :

[sam69]

Bonjour,
Comment ajouter des possibilités de SSO (Single Sign On) à une application web (Servlet/Jsp) qui gère elle-même ses utilisateurs ?
J’ai pensé à la solution suivante :

• Une synchronisation des utilisateurs avec un annuaire LDAP qui se lance périodiquement. Cela ne me paraît pas compliqué, même si je voudrais que cela soit compatible avec un maximum d’annuaire différent, et que la configuration (mapping etc.) soit simple. Des bibliothèques à conseiller ?

• Pour le SSO proprement dit, une servlet qui gère les demandes d’authentification et qui crée la session interne à l’application. C’est là que c’est plus flou. Dans l’idéal, j’aimerais un outil open source qui gère cela pour moi, avec des points d’entrés vers mon application lorsque l’utilisateur est OK. J’ai vu qu’il y avait plusieurs protocoles : NTLM, SAML (Liberty Alliance) etc..

Je n’en suis qu’au début dans mes recherches. Je suis tombé sur JAAS de SUN, mais il y a sûrement d’autres framework/solutions.
Quels sont vos experiences ?

Merci d’avance,

[sam69]

Pas de réponse ? Peut-être que je ne suis pas dans la bonne catégorie.
J'avous que ne sais pas trop quelle catégorie choisir...

[ericw78]

Il y a la solution CAS http://www.ja-sig.org/products/cas/

Le principe est simple : Tu demandes à un serveur CAS de gérér l'authentification des utilisateurs (via ldap ou ce que tu veux)
Puis dans chaque appli, tu rajoutes un bout de code qui vérifie si tu es logué. Sinon il te renoie sur le serveur CAS pour t'indentifier

[sam69]

Ca à l'air pas mal effectivement.
Par contre, j'ai l'impression que ce n'est pas très développé en entreprise, qui utilisent plutôt NTLM (sur Windows uniquement) ou Kerberos.
L'application sur laquelle je travail va être déployés dans différentes entreprises, donc autant miser sur les solutions les plus courantes.
Remarque, vu que ça à l'air rapide à mettre en oeuvre, je pense que je vais faire un connecteur vers CAS, mais il faut aussi que j'implémente NTLM ou Kerberos.
Que pensez-vous de JAAS ?
J'ai vu aussi que acegi security gère CAS et les LDAP, mais malheureusement, le projet a son propre système de gestion des utilisateurs, et on ne peut pas le changer...
J'ai l'impression que je ne vais pas trouver un connecteur qui s'adapte à la plupart des outils d'authentifications SSO ainsi qu'aux annuaires LDAP...

[diabolo512]

salut,
tu peux utiliser jGuard qui repose sur JAAS.

la dernière version 1.0.0 est sortie aujourd'hui.

Charles.
jGuard team.
www.jguard.net

[sam69]

Merci bien !
Je vais me pencher sur JGuard, ca a l'air bien.
Par contre, je vois que ca repose sur JEE. On peut quand même utiliser JGuard sur une appli tournant exclusivement sur tomcat non ?