On me dit qu'il est possible de créer une application Web ne nécessitant pas de login. L'utilisateur se connecte à Windows, qui s'authentifie via une recherche LDAP (Active Directory). Ensuite, ils devraient pouvoir accéder à mon application Web et ne jamais voir une invite de connexion. Ces clients se réfèrent à cela en tant que Single Sign On (peut-être incorrectement et une partie de ma confusion).
Cependant, d'après ce que j'ai lu de Single Sign On à partir de la documentation Tomcat:
La valve de connexion unique est utilisée lorsque vous souhaitez donner aux utilisateurs la possibilité de se connecter à l'une des applications Web associées à votre hôte virtuel , puis de faire reconnaître leur identité par toutes les autres applications Web sur le même hôte virtuel.
C'est parfaitement clair pour moi. L'utilisateur doit se connecter une fois et peut accéder à toutes les applications Web d'une instance de tomcat. Mais, ce que je dois faire, c'est leur permettre de se connecter sans jamais fournir d'informations d'identification à mon serveur Tomcat.
Donc, pour que cela fonctionne, j'imagine:
- L'utilisateur fait une demande pour une page
- Le serveur ne voit aucun jeton de session, puis demande au client des informations d'identification.
- Le navigateur du client sans aucune intervention de l'utilisateur fournit des informations d'identification au serveur.
- Ensuite, à l'aide des informations d'identification fournies par le navigateur du client, il effectue une recherche dans un LDAP.
J'ai vu des exemples qui utilisent des certificats côté client ... en particulier le système PKI DoD, ce qui me semble logique car dans ce cas, vous configurez Tomcat pour qu'il demande des certificats côté client , mais vous vous connectez simplement à Windows. Je ne vois pas comment cela fonctionnerait et quelles informations le navigateur transmettrait au serveur, etc. Est-ce à quoi sert NTLM?