Sorry ich mach den Thread nochmals auf....

beim letzen Thread sind wir ja beim einen oder anderen Problem gelandet.

Auch wenn man diese Session bzw. usr Daten Verschlüsselt verdenden kann besteht doch noch die Gefahr, das diese durch einen Trojaner abgegriffen werden.
Bei der ersten Idee war ja gmeint, dass dem Icon für eine bestimmte Anwendung die Login Daten hinterlegt sind. Problem jedoch ist, auch bei Verschlüsselung könnte ein Trojaner diese Lokal abgreifen.
Da nun eine Session zeitlich begrenzt ist, jedoch Login infos wie Benutzername und Passwort eine zeitlich längeren Lebenzyklus haben solle auf die angab Benutzername und Passwort verzichtet werden.

Für alle die den anderen inzwichen Archivierten Thread nicht kennen.
Meine Frage war, ob es eine SSO technologie gibt, ähnlich wie es Microsoft mit MSN etc. realisiert.

Die ersen Ideen dazu könnt Ihr eigentlich alle vergessen und werde ich nicht nochmals erwähnen.
Technisch sieht das ganze so aus:

Es gibt ein Intranet bzw. extranet in welchem unterschiedliche Benutzer über einen zentrallen Logon Server sich anmelden und dann ohne weitere Anmeldungen aufunterschiedlichste Server zugreifen können. Mit den Unterschiedlichen Server sind vorzugsweise Webanwendungen gemeint.

Die letzte Überlegung dazu war nun diese, und sollte eigentlich wirklich sicher sein, bis auf extreme hackr Attacken:

Der Logon Server handelt täglich einen Entschlüsselungscode mit den jeweiligen Appserver aus.

Der Benutzer lot sich nun auf dem Logon Server ein und erhält einen oder zwei validierungsschlüssel. Diese dienen wie z.B: Benutzername und Passwort nur Session bezogen für das Login auf dem jeweiligen Apserver. Der Benutzer muss jedoch nicht`s tun, da links auf einer Page mit den für Ihn verfügbaren Anwendungen schon die Anmeldungsschlüssel enthalten.

Der die jeweilige(n) Schlüssel beinhalten unter anderem auch die Information der IP Adresse des Anwenders. Das macht es für Kenner der Login Id noch schwehrer auf einem falschen account zu arbeiten.

Der Anwendungsserver selbst weiss nun nicht durch den Lgon Server wer angemeldet ist und wer nicht.

Dieses muss er mit dem Schlüsselpaar des Anwenders und des Logon Server selber feststellen.

Ausserdem, weiss der Appserver dann auch auf welche IP r hören muss und welche z.B. nicht aktzeptiert wird, da der Benuzer nicht der physikaisch richtige ist.

Voreile darin sehe ich aus mehreren Gründen:

1. Würde mit dem Verfahren selbst wenn ein Hacker die Id ergattert und den Appserver um die IP Adresse bescheisst, noch lange nicht de Login sowie Passwort herausfinden und könnte nut innerhalb einer Session unfug anstellen.

2. Müsste man nicht mit einer erhöten performance Last rechnen, wenn zu spitzen Zeiten sic mehrer Benutzer gleichzeitig Anmelden. Hierbei sendet der Logon Server keine Informationen an die weiteren Appserver.
Bei eine annahme von 10 000 Benutzer und weit übr 100 Anwendungen wäre dies durchaus eine hohe performance Last.

3. Da sich die Benutzer bisher ohnehin am Apserver anmelden würde sich aus Sicht der perforance nicht`s wesentliches ändern. Allerdings würden die Benutzer sich nur dann einloggen, wenn es absolut notwendig wäre.

Gruss Matze