У нас есть проект на 7.2 и собираемся создать еще два проекта по Jmix 2.0.
Стоит задача добавить SSO с AD, прикрутить к каждому приложения Jmix 2.0 и cuba 7.2 вроде бы проблем нет, но возможно ли с одним входом через AD в первое приложение, можно будет заходить в другие cuba 7.2 и Jmix без входа, некий SSO между Jmix и Cuba?
Добрый день.
Первый вариант, который приходит в голову - это использовать внешний провайдер аутентификации, например Keycloak, который будет интегрирован с вашей AD. В Jmix интеграция с Keycloak делается с помощью аддона OpenID Connect. Для CUBA стандартного задокументированного решения по подключению Keycloak нет, но я знаю, что пользователи вход через Keycloak для своих куба-приложений реализовывали.
Добрый день, а вариант через kerberos есть возможность реализовать?
Мы делали когда-то пример Kerberos для Jmix. Но давно его не проверяли, возможно, что-то уже в нём “поломалось”.
Вот в этом топике есть ссылка на пример и обсуждение. Там коллеги пишут, что Kerberos у них лучше всего работал опять через тот же самый Keycloak.
Подскажите, аддон LDAP позволяет ли реализовать SSO (т. е. вход без ввода логина AD и пароля AD)?
Нет, аддон LDAP только переадресует проверку логина-пароля, которые вы вводите в стандартном окне логина Jmix, к серверу LDAP (вместо проверки в БД приложения).