我想知道人们使用哪些策略来减少对旧应用程序的登录，以及他们发现它们的效果如何？

我们有一个基于ASP.Net的Intranet，并且拥有很多旧版应用程序，但不是全部。我们也有BizTalk，并且也在考虑使用它的SSO引擎。

解决方案

回答

努力/返工与单点登录便利之间的一个很好的折衷方案是继续维护旧版应用程序中的用户，特权，角色等列表。进行必要的更改，以根据用户帐户(通常是Windows或者网络帐户)自动将用户登录到应用程序。

我目前正在运行一些使用这种登录方法的应用程序，即使它们没有集成，这也使它们看起来更加集成。

我们发现的另一个优势是，它可以阻止人们向旧版应用程序共享密码。他们分发管理员密码的可能性要小得多，该密码还使其他人可以访问他们的电子邮件或者工资单详细信息！

回答

每个应用程序有多个身份存储？
可能不是单一的登录解决方案，但是我们是否尝试过研究更具针对性的解决方案，例如MS Identity Lifecycle Manager？这将简化应用程序之间的身份同步，并且它也是可插入的，这意味着我们可以连接自己的代码以在不同系统之间进行同步。因此，如果我们在ILM门户中更改身份信息(即登录信息)，则可以将其传播到其他系统。设置和取消设置身份相同。单入口点。
我以为我们也可以将biztalk用于类似的事情。

至于真正的单点登录解决方案，我们只需登录一次，而不必再次登录到其他应用程序。我还没有找到。

我猜想，如果旧版应用程序具有可插入的身份提供程序模块，那么它是可行的，这意味着我们可以自定义登录系统，以连接到唯一的真实身份信息源，无论如何。

回答

我们对旧帐户做了两件事。 (基于旧版网络的应用)

我们首先将旧帐户映射到其系统登录帐户(在Windows Active Directory中运行)。

然后将外观登录屏幕应用于旧版应用程序(基于Web)的顶部，这将请求AD登录，然后它将反向映射到旧版应用程序登录帐户并使用旧版向用户分配适当的权限系统安全模型。用户收到该会话的令牌，从而为他们打开了大门。

这给我们带来了不必改造旧版应用程序的好处(例如，将发生的事情是，应用程序x仅具有ID的数字，并且用户使用Windows登录(字母数字)，并且从客户端的角度实现了伪单点登录)。

另一个有意义的选项是在新的登录屏幕上，它将检查多个安全性存储库，因此，即使用户未决定使用Windows登录，他们仍然可以使用旧帐户名进行登录。显然，这确实有一些副作用，但也可以缓解最终用户有时在系统之间移动时的过渡痛苦。

像Citrix XenApp Single Signon这样的程序也采用完全不同的方法来解决此问题。

回答

除了Jimmy关于使用ILM的观点外，该特定系统还允许与AD PCNS(密码更改通知服务)服务集成，该服务可以与ILM一起使用(ILM"看到"密码更改事件并将其发布到其他使用的应用程序) /服务)，以至少确保在一个系统中更改用户密码后，该密码会反映到其他系统中。