单点登录 – 没有Windows登录的富客户端(“胖客户端”)的单点登

但是,我正在寻找一个更通用的解决方案：我需要建立“真正的”SSO(所有应用程序的一个身份,即不仅仅是跨应用程序的密码同步),在客户端(非托管计算机,包括.非Windows),“终端客户端”是Java应用程序和GTK应用程序.两者都使用基于HTTP的协议(例如,通过HTTPS的Web服务)与其服务器对应方进行通信.客户端和服务器不一定位于同一LAN / Intranet中,但客户端可以从外部网访问服务器.所有应用程序的服务器端都位于同一网络区域,SSO组件可以通过LDAP访问身份提供程序.

我的问题基本上是“我怎么能这样做”？进一步来说,

a)是否存在用于安全,受保护的客户端“sso会话存储”的商定机制,因为浏览器访问的应用程序的SSO cookie就是这种情况？可能是模拟Kerberos(TGT？)甚至直接重用它,即使客户端没有执行ActiveDirectory身份验证？

b)是否存在富客户端与SSO其他参与者之间通信的任何协议/ API /框架(如cookie的情况)？

c)是否有任何API /框架用于通过网络推送类似Kerberos的TGT和会话门票？

d)是否有任何示例实现/教程可用于演示如何执行富客户端SSO？

我知道有一些“填充”代理可以学习如何在客户端的应用程序对话框中输入凭据.如果可能的话,我宁愿不要使用这样的“助手”.

另外,如果可能的话,我想尽可能使用CAS,Shibboleth和其他开源组件.

感谢您的意见,建议和解答！

MIKU