<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=us-ascii" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18828"></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=211444416-19012010><FONT 
face="Book Antiqua">Here is a picture of what I mean (if it doesn't make it, 
I'll post it and send the link), does it look right:</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=211444416-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=211444416-19012010><IMG 
src="cid:211444416@19012010-1002"></SPAN></DIV>
<DIV>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV>&nbsp;</DIV><BR>
<DIV dir=ltr lang=en-us class=OutlookMessageHeader align=left>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>From:</B> esapi-user-bounces@lists.owasp.org 
[mailto:esapi-user-bounces@lists.owasp.org] <B>On Behalf Of </B>Boberski, 
Michael [USA]<BR><B>Sent:</B> Tuesday, January 19, 2010 9:04 AM<BR><B>To:</B> 
ESAPI-Users<BR><B>Subject:</B> [Esapi-user] Exploring ESAPI identity 
management<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua">Hi,</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=661523513-19012010><FONT face="Book Antiqua">I'm working on a 
first&nbsp;language-independent ESAPI design spec, for authentication. It will 
be posted for review and comment once there's at least something in each of the 
sections.</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=661523513-19012010><FONT face="Book Antiqua">One section/topic 
that I would like to try to explore a little bit before I put pen to paper is 
"identity management" as described/defined in the current draft of the ESAPI 
"Establishing a Security API for Your Enterprise" book.</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=661523513-19012010><FONT face="Book Antiqua">Let us say that we 
have a single Java application that is using ESAPI user and authentication 
controls. In this case, getCurrentUser&nbsp;and whatnot work together 
to&nbsp;create a new user object after authentication, regenerate&nbsp;the 
session identifier, and so on.</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=661523513-19012010><FONT face="Book Antiqua">How might identity 
management using ESAPI be intended to work when one has an application comprised 
of <EM>multiple</EM> servers integrated together, <EM>mixing programming 
languages and solution stacks</EM>?</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=661523513-19012010><FONT face="Book Antiqua">E.g., let us say 
we have a PHP application running on LAMP solution stack, and a separate&nbsp;C# 
application running on a Windows solution stack (IIS), and now we want to 
integrate the two, we want to be able to navigate between the two separate web 
user interfaces, and log in and out correctly. How might identity management 
work using ESAPI in this scenario? Assume that the ESAPI for PHP user and 
authentication interfaces exist and are implemented in a similar fashion as the 
Java version, and that the ESAPI for .NET user and authentication interfaces do 
not exist, as IIS/Windows provides basically equivalent functionality. How might 
the ESAPI for PHP user and authentication reference implementation need to be 
modified? Would the ESAPI for .NET need user and authentication implementations 
in this instance, e.g. to retrieve session information produced by the PHP 
application?</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=661523513-19012010><FONT face="Book Antiqua">Thanks in advance, 
and remember I publish what I work on when it comes to ESAPI, so your help == 
helping the project and the user community. The end goal is to come up with an 
explanation that says with ESAPI and some custom coding, one doesn't need to go 
buy a commercial SSO web portal type product.</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV><SPAN class=661523513-19012010><FONT face="Book Antiqua">Thanks in 
advance,</FONT></SPAN></DIV>
<DIV><SPAN class=661523513-19012010><FONT 
face="Book Antiqua"></FONT></SPAN>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Best,</FONT></DIV>
<DIV align=left><FONT face="Book Antiqua"></FONT>&nbsp;</DIV>
<DIV align=left><FONT face="Book Antiqua">Mike&nbsp;<SPAN 
class=760305716-15062009>B.</SPAN></FONT></DIV>
<DIV>&nbsp;</DIV></BODY></HTML>