端口 9031 上的 Pingfederate SSO
Pingfederate SSO on port 9031
为什么像 Ping Federate 运行 这样的 SSO 提供商会在 9031 等不为人知的端口上运行。这会增强安全性吗?它似乎只会增加具有严格防火墙规则的组织的连接问题。
这只是一个默认的半随机端口,这样它就不会与同一台机器上的现有服务发生冲突,并且是一个高端口,这样服务器就可以 运行 在非特权用户帐户下。
对于生产用途,通常会将其更改为 443 and/or 运行 a reverse-proxy/loadbalancer 在 SSO 服务器前面(在端口 443 上)。
通常,安全是在网络外围进行管理的。对于我参与的部署,端口 443 主要用于外围的 SSO(例如 PingFederate)。对于内部网络,我见过两种模式,主要是(i)将PingFederate中的HTTPS端口更改为443,或(ii)利用负载均衡器端口从443转发到9031。我通常看到第(i)项为Windows 部署和第 (ii) 项用于 Linux 部署,其中避免了保留端口。这两种模式都没有真正的安全增强功能。
正如 Hans 指出的那样,PingFederate 默认使用 9031,以便在首次部署该技术时避免与服务器上的其他进程发生冲突。随着 SSO 功能在环境中的成熟,可以管理服务的适当端口。默认端口避免了首次安装时可能会让刚接触该技术的人感到沮丧的问题。
为什么像 Ping Federate 运行 这样的 SSO 提供商会在 9031 等不为人知的端口上运行。这会增强安全性吗?它似乎只会增加具有严格防火墙规则的组织的连接问题。
这只是一个默认的半随机端口,这样它就不会与同一台机器上的现有服务发生冲突,并且是一个高端口,这样服务器就可以 运行 在非特权用户帐户下。
对于生产用途,通常会将其更改为 443 and/or 运行 a reverse-proxy/loadbalancer 在 SSO 服务器前面(在端口 443 上)。
通常,安全是在网络外围进行管理的。对于我参与的部署,端口 443 主要用于外围的 SSO(例如 PingFederate)。对于内部网络,我见过两种模式,主要是(i)将PingFederate中的HTTPS端口更改为443,或(ii)利用负载均衡器端口从443转发到9031。我通常看到第(i)项为Windows 部署和第 (ii) 项用于 Linux 部署,其中避免了保留端口。这两种模式都没有真正的安全增强功能。
正如 Hans 指出的那样,PingFederate 默认使用 9031,以便在首次部署该技术时避免与服务器上的其他进程发生冲突。随着 SSO 功能在环境中的成熟,可以管理服务的适当端口。默认端口避免了首次安装时可能会让刚接触该技术的人感到沮丧的问题。