Site Minder를 사용하여 SSO 용 아키텍처에 대한 권장 사항을 제시해야합니다. 몇 가지 J2EE 응용 프로그램이 있습니다. 이 J2EE 응용 프로그램은 http 헤더에 SSO 공급자가 인증 한 후 정보가있는 경우 작동하도록 설계되었습니다. 우리는 애플리케이션 SSO 제공자를 불가지론 자로 유지했습니다. 즉, SSO 공급자의 헤더에만 의존합니다. 이것은 RSA와 SSO 공급자로서 잘 작동했습니다.SiteMinder에 대한 올바른 디자인
지금 SiteMinder와 함께 제안 된 또 다른 아키텍처가있다. 요청 방식의 흐름은
IIS가있는 SiteMinder -> Apache 역방향 프록시 -> Tomcat 응용 프로그램 -> 백엔드 응용 프로그램입니다.
우리가
A) IIS (공공 직면 사이트)와 SiteMinder를
B) 라우팅을위한 아파치 역방향 프록시()
C) 톰캣 응용 프로그램 (라우팅 및 들어있을 것이다 분해하려면 시간에 기초하여 사이트 액세스)
D)의 논리 백엔드 애플리케이션
새 아키텍처를 가져 오는 이유는 모든 백 엔드 응용 프로그램에 사이트 액세스 코드가 있기 때문입니다. 사이트는 얼마 동안 속성 파일에 의해 제어되는 동안 다운 될 수 있습니다.
이 아키텍처가 잘못되었습니다. Apache Reverse Proxy가 필요한 이유를 모르겠습니다. 나는 흐름이있는 간단한 아키텍처로 여전히 으로 갈 것이다. a) IIS가 라우팅 -> 백엔드 애플리케이션 (사이트에 액세스 할 수 있는지 여부를 확인하기 위해 공통 서비스에 액세스)을 사용하는 SiteMinder
내가 누락 된 것이 있습니까?
Thanks AvijitAjay. SiteMinder가 설치된 IIS는 이것이 조직의 표준이므로 그대로 사용해야합니다. 내 질문에 은행이 이미 다른 많은 응용 프로그램에 SiteMinder와 함께 IIS를 사용하고 있음이 분명하지는 않다고 생각합니다. IIS가있는 SiteMinder를 사용하면 조직 전체에 보안 정책을 구현할 수 있습니다. IIS와 Siteminder를 제거 할 수 없으므로 Apache Reverse Proxy 및 Tomcat Application을 제거하는 것이 가장 좋습니다. –
다이어그램의 "공용 사이트 방문"주석에서 IIS가 인터넷에 직접 연결되어 있고 앞에로드 균형 조정기가 없다고 가정합니다. 그런 경우 사용자가 다음 네트워크 영역에 들어가기 전에 모든 유효성 검사를 통과해야하는 계층으로 작동하도록 IIS를 설치하는 것이 좋습니다. 앞에서 언급했듯이 Apache + TomCat은로드 균형 조정 및 장애 조치 (failover)에 매우 적합한 조합이며 IIS를 공용 IP의 끝점으로 사용하는 경우이 아키텍처는 나에게 좋아 보인다. 그냥 내 두 센트. – Avi