Наш ИТ-персонал отказывается устанавливать агент SiteMinder на веб-сервере нашего приложения IIS 6.0, ссылаясь на соображения безопасности, поскольку это стороннее программное обеспечение, а также на возможность высокого использования ресурсов, влияющего на производительность приложения.
Они предлагают настроить независимый, отдельный веб-сервер, содержащий только базовый IIS, агент SiteMinder и «прокладку» для аутентификации попыток входа в систему.
Эта оболочка представляет собой одну страницу ASPX, помеченную агентом как защищаемую. Он будет использовать агент SiteMinder для аутентификации идентификатора пользователя, поиска идентификатора пользователя в базе данных приложения и возврата идентификатора пользователя и пароля в браузер пользователя. Затем функция JavaScript отправит идентификатор пользователя и пароль на существующую страницу входа в приложение, как если бы они сами ввели их.
Обоснованы ли их опасения? Почему или почему нет?
Вы когда-нибудь слышали о том, чтобы кто-нибудь реализовал подобную архитектуру?
Является ли предложенное ими решение хорошим, плохим или уродливым?