Мені кажуть, що можна зробити веб-додаток, який не потребує входу. Користувач входить у систему Windows, яка засвідчує автентифікацію за допомогою пошуку Active Directory (LDAP). Потім вони повинні мати можливість перейти до мого веб-сайту і ніколи не бачити підказки для входу. Ці клієнти посилаються на це як єдиний вхід (можливо, неправильно і є частиною моєї плутанини).
Але з того, що я прочитав Single Sign On з документів Tomcat, це:
Клапан єдиного входу використовується, коли ви бажаєте надати користувачам можливість входити в будь-яку з веб-додатків, пов’язаних з вашим віртуальним хостом , а потім визнати їх ідентичність усіма іншими веб-додатками на тому ж віртуальному хості.
Це мені цілком зрозуміло. Користувач повинен один раз увійти та отримати доступ до кожного веб-сайту в екземплярі tomcat. Але що мені потрібно зробити, це якимось чином дозволити їм увійти, не надаючи ніколи ніяких даних для мого сервера tomcat.
Отже, для того, щоб це працювало, я уявляю:
- Користувач робить запит на деяку сторінку
- Сервер не бачить маркер сеансу, а потім запитує клієнта для отримання деяких облікових даних.
- Клієнтський браузер без будь-якого втручання з боку користувача надає серверу деякі облікові дані.
- Потім, використовуючи ті облікові дані, надані браузером клієнтів, він здійснює пошук у LDAP.
Я бачив декілька прикладів, які використовують сертифікати на стороні клієнта ... зокрема система DoD PKI, яка має для мене певний сенс, оскільки в тих випадках ви налаштовуєте Tomcat на запит сертів на стороні клієнта , але просто увійшовши у Windows, я не бачу, як це буде працювати, і яку інформацію браузер передасть серверу тощо. Це для чого використовується NTLM?