如何使用Microsoft AD为内部PHP应用程序实现单点登录（SSO）？

你只需要使用Apache模块mod_auth_sspi即可。
示例配置：

AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIDomain mydomain

# Set this if you want to allow access with clients that do not support NTLM, or via proxy from outside. Don't forget to require SSL in this case!
SSPIOfferBasic On

# Set this if you have only one domain and don't want the MYDOMAIN\ prefix on each user name
SSPIOmitDomain On

# AD user names are case-insensitive, so use this for normalization if your application's user names are case-sensitive
SSPIUsernameCase Lower
AuthName "Some text to prompt for domain credentials"
Require valid-user

请不要忘记，您也可以在Windows域中使用Firefox进行透明SSO：只需打开about:config，搜索network.automatic-ntlm-auth.trusted-uris，输入您内部应用程序的主机名或FQDN（例如myserver或myserver.corp.domain.com）。您可以有多个条目，并用逗号分隔。请注意保留HTML标签。

我曾经遇到过类似的问题，需要为我的组织解决。

我正在研究使用adLDAP。

该网站上有一些文档介绍如何实现与Active Directory的无缝认证。

我对使用OpenID作为后端解决方案很感兴趣... 当我快速搜索时，没有看到任何直接连接到ActiveDirectory的东西。然而，通过普通的HTTP(S)实现可能非常简单（您将成为一个检查本地AD凭据的OpenID提供者）。在最理想的情况下，您可能只需向应用程序添加几个类即可运行 - 无需Web服务器模块。有很多开源代码可以用于此，因此即使没有其他好处，也值得一看。如果向用户公开后端（即提供OpenID URL），则还可以使他们能够使用这些凭据登录到更多不仅是您内部站点的网站。 （例如：Stack Overflow。）

顺便说一下，我反对将它设为必须使用Internet Explorer。从你提问的方式来看，我不确定这是否是目标，但根据你的IT环境，我预计使用Firefox、Safari（或Opera等）的人会不太热衷。（你不是首先针对IE进行开发吧？每当我这样做时，都感到非常痛苦。）这并不是说你不能使用IE的这个功能，只是说它不应该是唯一的选择。你发布的链接说明NTLM适用于更多浏览器，但由于我没有任何经验，很难判断它的效果如何。

对于IIS/PHP FCGI，您需要发送未经授权的标头：

function EnableAuthentication()
{
    $realm = "yoursite";
    header('WWW-Authenticate: Digest realm="'.$realm.'",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
    header("HTTP/1.1 401 Unauthorized"); 
    exit;
}

然后，您可以使用以下代码获取用户名：

$winuser = $_SERVER["REMOTE_USER"];

然后我确保$winuser在我的允许用户数据库中。

一定要在非特权帐户下测试。当我第一次安装它并测试时，它运行良好，但稍后当一个标准的非服务器管理员用户尝试时，它失败了。结果发现一些临时目录需要更改来宾用户的权限。我无法回忆起确切的设置。

对于您来说，一个选择是使用CAS（中央认证服务）。

它有php客户端库。

如何链接到MS Active Directory：http://www.ja-sig.org/wiki/display/CASUM/Active+Directory

但您需要Apache maven 2。