Mi è stato detto che è possibile creare un'applicazione Web che non richiede un accesso. L'utente accede a Windows, che esegue l'autenticazione tramite una ricerca di Active Directory (LDAP). Quindi, dovrebbero essere in grado di accedere alla mia webapp e non visualizzare mai un prompt di accesso. Questi clienti si sono riferiti a questo come Single Sign On (forse in modo errato e parte della mia confusione).
Ma, da quello che ho letto Single Sign On dai documenti Tomcat è:
La valvola Single Sign On viene utilizzata quando si desidera dare agli utenti la possibilità di accedere a una qualsiasi delle applicazioni Web associate al proprio host virtuale e quindi riconoscere la propria identità da tutte le altre applicazioni Web sullo stesso host virtuale.
Questo è perfettamente chiaro per me. L'utente deve effettuare il login una volta e può accedere a tutte le webapp su un'istanza di tomcat. Ma quello che devo fare è in qualche modo lasciarli accedere senza mai fornire credenziali al mio server Tomcat.
Quindi, affinché questo funzioni, immagino:
- L'utente effettua una richiesta per alcune pagine
- Il server non vede alcun token di sessione e quindi richiede al client alcune credenziali.
- Il browser client senza alcun intervento da parte dell'utente fornisce alcune credenziali al server.
- Quindi, utilizzando quelle credenziali fornite dal browser dei client, effettua una ricerca in un LDAP.
Ho visto alcuni esempi che utilizzano i certificati lato client ... in particolare il sistema DoD PKI che ha un senso per me perché in quei casi configuri Tomcat per richiedere certificati lato client , ma semplicemente accedendo a Windows non vedo come questo funzionerebbe e quali informazioni il browser passerebbe al server ecc. È per questo che NTLM è usato?