Интеграция LDAP [закрыто]
Я хочу быть в состоянии предложить людям, которые используют мой сайт, интеграцию с их внутренней системой аутентификации (LDAP, я думаю, так как я не хочу ограничивать его решением, которое работает только для пользователей Windows).
Цель состоит в том, чтобы пользователь мог войти на мой сайт, используя свой корпоративный идентификатор пользователя и пароль (или, что еще лучше, вообще не входить, если он уже аутентифицирован).
К сожалению, я очень невежественен в таких вопросах.
Есть ли способ сделать это безопасно и так, чтобы каждая такая интеграция не была огромной работой?
О каких подводных камнях я должен знать?
Есть ли какие-нибудь нестареющие ресурсы на эту тему, которые можно порекомендовать?
Решением, которое Вы описываете, является в основном Единая точка входа. Необходимо читать на инициируемой Единой точке входа Поставщика Идентификационных данных с помощью SAML.
Для поставщиков в пространстве проверьте Ping Identity и Symplified.
SAML нетривиален, но это - фактический стандарт для Предприятия SSO.
Вы действительно не хотите делать это - Это будет только боль и страдание для Вас.
Правила брандмауэра на удаленных сайтах изменятся, и аутентификация повредится. Это будет Вашим отказом, даже при том, что Вы не имеете никакого контроля над ним.
Схемы LDAP будут развиваться со временем, и что было совершенно корректно, в понедельник будет нефункционально к среде. Снова, это - Ваш отказ (Ваш сайт повреждается, даже при том, что их изменения - то, что повредило его), и Вы будете пожалованы в решить проблему.
Существует также очень немного нормальных администраторов сайта, которые согласились бы на предоставление, Вы получаете доступ к их пользовательской базе данных. Они открывают дыру, ограниченную, хотя это могло бы быть, и нормальный администратор будет справедливо сопротивляться выполнению так ради небольшого удобства для пользователей.
Если Вы хотите предложить услугу как это, действительно необходимо быть в их корпоративной сети, и подвергающиеся ее средствам управления и ограничениям (т.е. Вы будете развертывать аппаратные средства на их сайте). Вы будете затем обычно интегрироваться в их домен Kerberos, который позволяет уже-зарегистрированным-пользователям использовать билеты Kerberos для аутентификации к другим сервисам, не имея необходимость вводить их имя пользователя.