通过 REST API 验证 AD 或 LDAP 凭据

Question

我们的要求很简单。我们有一个 Web 应用程序，要求用户注册一个新帐户才能使用该服务。 我们希望为用户提供使用其 AD 或 LDAP 凭据登录的功能，前提是客户端已经安装了 AD/LDAP 连接器。 是否有任何服务可以做到这一点（提供连接器和 REST 接口以编程方式验证用户凭据），并执行一次性 API 集成，以便在我们的 Web 应用程序 www.mywebapp.com/login 上向用户显示登录表单，然后他们将输入他们的 AD/LDAP 用户名和密码，我们将使用 OneLogin API 对他们的用户目录进行验证

我浏览了 OneLogin 的 API 文档，但我没有看到任何方法可以做到这一点，尽管我可以在 https://www.onelogin.com/active-directory-integration 看到它是 OneLogin 的一个功能

Answer 1

在用户同步到 OneLogin 后（例如，通过 Active Directory 连接器或 LDAP 连接器），通过 REST API 的身份验证调用会将用户名/密码传送到正在同步的目录以进行验证——这应该满足你的用例。

例如，您可以使用 https://developers.onelogin.com/api-docs/1/users/create-session-login-token 之类的函数，或者只针对 LDAP 端点进行 LDAP 查询。

Answer 2

看看来自 OneLogin 的这个新的（ish）API -

https://developers.onelogin.com/api-docs/1/users/create-session-login-token

虽然它是为开发人员设计的，可以在 OneLogin 之上构建自己的前端，但它也可用于验证用户的凭据（如果您获得 session_token，则说明您已成功验证用户身份）

这应该通过 OneLogin “返回”，以根据配置为处理身份验证的任何目录验证用户。

如果配置了第二个因素，则此调用具有支持第二个因素的额外好处。