Почему провайдеры SSO, такие как Ping Federate, работают на малоизвестных портах, таких как 9031. Повышает ли это безопасность? Похоже, что это только увеличивает проблемы с подключением в организациях со строгими правилами брандмауэра.
Pingfederate SSO на порту 9031
comment
Оба отличные ответы. Спасибо за помощь!
- person Pat O'Shea schedule 10.07.2015
Ответы (2)
Это просто полуслучайный порт по умолчанию, чтобы он не конфликтовал с существующими службами на том же компьютере, и высокий порт, чтобы сервер мог работать под непривилегированной учетной записью пользователя.
Для производственного использования обычно изменяют его на 443 и/или запускают обратный прокси/балансировщик нагрузки перед сервером единого входа (на порту 443).
person
Hans Z.
schedule
08.07.2015
Обычно безопасностью управляют по периметру сети. В развертываниях, в которых я участвовал, порт 443 преимущественно используется для единого входа (например, PingFederate) на периметре. Для внутренней сети я видел две модели, в основном (i) изменить порт HTTPS в PingFederate на 443 или (ii) использовать переадресацию порта балансировщика нагрузки с 443 на 9031. Я обычно вижу пункт (i) для развертываний Windows и пункт (ii) для развертываний Linux, в которых не используются зарезервированные порты. На самом деле ни для одного шаблона нет настоящего улучшения безопасности.
Как указывает Ханс, PingFederate использует 9031 по умолчанию, чтобы избежать конфликта с другими процессами на сервере при первом развертывании технологии. По мере того, как возможность единого входа становится частью среды, можно управлять соответствующим портом для службы. Порт по умолчанию позволяет избежать проблем при первой установке, которые могут разочаровать новичков в этой технологии.
person
Eric U.
schedule
09.07.2015
