Estamos en un entorno de autenticación complejo y necesitamos respaldar la autenticación frente a una cantidad de fuentes diferentes en las aplicaciones que estamos desarrollando. Como no queremos duplicar el código de autenticación en todas partes, estamos evaluando la posibilidad de combinar las diversas fuentes de autenticación con un único proveedor de OpenID, y todas las aplicaciones dependen de ese servicio.¿Puede un proveedor de OpenID usar Kerberos u otros mecanismos de autenticación "alternativos"?
Las fuentes que tenemos para permitir la autenticación contra son cosas como Active Directory nombre de usuario/contraseña, Kerberos, LDAP genérico, proveedores de OpenID externos, etc.
Por ejemplo, en el caso de Kerberos, cuando el usuario pulsa el OpenID la página de autenticación del proveedor, si puede autenticarse con Kerberos y ya ha otorgado permiso a la aplicación solicitante, el usuario se autenticará de forma transparente como si se ingresara una contraseña y se le devolverá a la aplicación solicitante.
Entonces, la pregunta es: ¿Podemos tener un proveedor de OpenID que maneje la autenticación a través de todos estos métodos? ¿El proveedor debe implementar cómo autentica a los usuarios de una manera específica?
Este es un caso de uso interesante. ¿Cómo planifica su equipo gestionar el caso en el que existe una identidad de autenticación en múltiples backends? –
@TerryGardner, El usuario, en ese caso, tendrá la opción de autenticarse con el método que desee. El proveedor de OpenID podría, en teoría, conectar identidades de diferentes fuentes, por lo que el servicio puede autenticarse automáticamente si es posible y recurrir a un método de autenticación manual si es necesario. P.ej. pruebe Kerberos primero y luego recurra a un par de nombre de usuario/contraseña de Active Directory. Desde la perspectiva de la aplicación solicitante, es solo un proveedor de OpenID, que mantiene las cosas simples y agradables, llevando toda la complejidad de autenticación al servicio de autenticación de envoltura. – cdeszaq
Ya veo. En ese caso, no entiendo la pregunta. ¿Has leído y entiendes la especificación [OpenID] (http://openid.net/specs/openid-authentication-2_0.html)? –