我们希望为组织提供将其内部 Active Directory (AD) 与我们的外部云产品集成的能力。
我们的客户端有一个使用 ADFS 的联合服务器,我们知道要在此级别上与多个客户端一起工作,我们需要拥有自己的 ADFS 服务。这是否意味着我们可以使用 SCIM 作为替代品?
我们希望为组织提供将其内部 Active Directory (AD) 与我们的外部云产品集成的能力。
我们的客户端有一个使用 ADFS 的联合服务器,我们知道要在此级别上与多个客户端一起工作,我们需要拥有自己的 ADFS 服务。这是否意味着我们可以使用 SCIM 作为替代品?
您不需要ADFS 服务器。尽管您可以使用它,但它有一些缺点:相对复杂的部署、复杂的自动化、有限的协议支持等。您可能会花费相当多的时间来调整它来满足您的需求。当然这是我自己的经验。
从概念上讲,你是对的。您需要一个中介(通常称为“Federation Provider”,它在您的应用程序和任何了解用户(如客户的 ADFS)的系统之间代理身份验证事务)。
您可能想要检查重量更轻、云就绪且更易于扩展的替代方案。幸运的是,您有很多选择:
1- 您可以使用IdentityServer,这是一个可以部署在您的服务旁边的开源产品。它是一个开源产品,您可以根据需要进行扩展和定制;并为您提供大量的灵活性。由于它是 OSS,因此您可以“拥有”堆栈并做任何您想做的事情。
2- 您可以使用 Azure AD,它是 Microsoft 托管的联合提供商。它将与 ADFS 和其他常见提供程序一起使用;但有一些限制。(例如:它不允许您轻松保留自己的用户数据库,它不会规范用户配置文件,在您可能需要的一些常见事情中)。
3-您可以使用针对您的场景进行了优化的Auth0。(完全披露:这是我工作的产品)。
无论如何,您可以在此处阅读有关此类场景架构的更多信息。
选择使用 SimpleSAMLphp - 我们将通过 API 声明流程接受供应。我们已经制定了组策略,使任务更容易。