【问题标题】:Is LDAP suitable for external users?LDAP 是否适合外部用户?
【发布时间】:2017-03-07 10:55:57
【问题描述】:

LDAP 经常用于供应企业用户。它充当集中式用户存储。通过 SCIM API 轻松与 SaaS 集成。

但是,如果我们想要实现单一数据存储进行身份验证,以便在多个网站中实现单一登录和轻松用户配置,但由同一组织提供,那么为外部用户使用 LDAP 是否是个好主意。

所有关于 LDAP 和 SCIM 的描述都建议了将 SaaS 集成到内部用户数据库或多个 Intranet 应用程序的用例。

如果不是,那么基于标准的方法是什么?会有哪些挑战?

【问题讨论】:

    标签: ldap single-sign-on saml scim


    【解决方案1】:

    LDAP 是为任何类型的用户或设备存储身份信息的理想选择。比大多数关系数据库更快,现代 LDAP 服务器实现可以扩展到非常大的容量。

    对于单点登录,LDAP 没有任何帮助。 SAML 或 OpenID Connect 将是 SSO 的“当前最佳实践”。

    SCIM 2.0 非常适合作为身份信息存储对 LDAP 执行 CRUD 操作。

    来自通用请求的挑战,超出了 stackoverflow 的范围。

    OpenID Connect 的一大优点是它抽象了身份验证,然后 SCIM 还抽象了 CRUD 操作,因此后端无关紧要。

    提出具体问题将获得最佳结果。

    【讨论】:

    • 无耻插件。 PingDirectory Server 支持 LDAP 和 SCIM 协议。最初,该产品仅支持 LDAP。
    • 我想知道为什么人们在 RDBMS 中创建自己的身份验证模式而不是使用 LDAP
    • @pinkpanther 我也经常想知道。我认为更多人熟悉 RDBMS 而不是 LDAP。我还扩展了关于 OpenID Connect 和 SCIM 如何成为优势的答案。
    • 请注意 ADFS 4.0 现在支持 LDAP v3.0 身份验证。
    • 更少的选择,更少的麻烦我想做出决定;)有太多的东西可供选择。
    【解决方案2】:

    作为一名顾问,我看到越来越多的大型企业使用称为客户身份和访问管理 (CIAM) 的行业流行语来启动计划。这些大型组织的要素之一是管理外部用户(或您喜欢的身份)。这些组织正在使用基于 LDAP 的用户目录来存储身份信息。这些架构确实分别使用 SCIM、SAML 和 OIDC 标准进行用户配置和联合。在我们的咨询中,我们看到了许多不同的 LDAP 服务器,包括 Active Directory、AD-LDS、OpenLDAP、CA-LDAP、PingDirectory 等。选择 LDAP 的关键是规模和性能参数,所以在选择时对于技术,请务必询问存储库大小和压缩、索引速度和技术实施、底层数据管理和数据同步。

    至于上面那个不要脸的插件,我很熟悉 PingDirectory(以前称为 UnboundID),它是一个在规模和性能方面都很棒的产品,因为它内置了可以很好地扩展的功能。事实上,它植根于电信行业,那里有数以千万计的客户用户。作为您分析以确定哪种技术最适合您的用例的一部分,我会看看该产品。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2012-05-11
      • 1970-01-01
      • 2011-01-12
      • 2011-05-04
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多