我有一个传统的自定义“ID 集线器”,它在内部关系数据库中保存身份验证和授权数据——没有 LDAP、ActiveDirectory 等。“ID 中心”公开了使用自定义“登录令牌”操作的自定义遗留 API——对登录操作的成功调用会返回一个令牌,该令牌可用于检索授权信息等。
我正在重新设计“ID 中心”,以便可以将其身份验证数据提取到提供 LDAP 接口的适当目录中。鉴于用户名将是匹配身份验证和授权条目的“关键”,我相信 ID hub 的接口可以保持不变,而实现会进行调整,包括。从 ID 中心访问身份验证目录。由于我的应用程序依赖于 ID 集线器,ID 集线器的旧接口还不能退役。
我的问题是:在第二步中,我还需要对 ID 集线器进行现代化改造,以便切换角色:应用程序将访问上述目录,该目录将不再仅进行身份验证,但现在也将公开授权接口(例如,再次使用 LDAP)并用作入口点,而不是“ID 集线器”。同时,授权数据保存在传统的“ID hub”中很重要。
我的问题是:如何以受信任的方式从该目录调用“ID hub”,即如何解决“ID hub”需要来自“前端目录”的有关已验证用户的受信任信息的问题? 即使这两个组件在一个共同的受信任环境中运行,我也不想将用户名(=joint,主键)作为唯一信息传递。
目录和旧版 ID 集线器之间可以使用哪些接口?这可以使用 SAML 2.0 或 LDAP 吗?我还需要考虑目录通过 Kerberos 对用户进行身份验证的情况。
任何意见,将不胜感激!
米库