-1

什么客户要求:

组织用户每次尝试访问 MY PRODUCT [这是一种 SAAS] 时都不必提供 UN 和 PASS。将使用 LDAP 根据其 AD 凭据验证用户。

我有的:

我的产品是用 PHP 编写的,它是面向公众的,即客户端用户使用 UN 和 PASS 访问产品,在创建用户帐户时与他们共享。

我的问题是什么:

我有一个场景,我需要使用 IdP(身份提供者),它将使用 LDAP 连接到客户端 AD,并将验证某些用户并为我提供响应令牌。

现在我遇到了像 SimpleSALMphp [ https://simplesamlphp.org/]和 Centrify [ http://www.centrify.com/products/overview.asp ]这样的身份提供

我的问题是,

  1. 将使用的身份提供程序将托管在客户端环境或我的产品所在的服务器上,或者它可以用作第三方软件。

  2. 此外,当 XYZ 用户点击我的 PRODUCT [它是用 PHP 编写的] 时,需要确定一种方式来识别可以传递给 IdP 的 Windows 凭据,然后 IdP 将针对客户端 LDAP 验证这些凭据并提供 MY PRODUCT 有效响应,以便我可以直接为该 XYZ 用户启动会话,无需他的 UN 和 PASS。

4

1 回答 1

0

一个。将使用的身份提供程序将托管在客户端环境或我的产品所在的服务器上,或者它可以用作第三方软件。

如果您计划使用 simplesamlphp,您将需要为 Saml 服务提供商功能增强您的 SaaS 后端服务 - 此处记录:https ://simplesamlphp.org/docs/stable/simplesamlphp-sp这些功能将使您的 SaaS 服务能够绑定到 IdP,例如 Centrify 以进行 Active Directory 身份验证。

湾。此外,当 XYZ 用户点击我的 PRODUCT [它是用 PHP 编写的] 时,需要确定一种方式来识别可以传递给 IdP 的 Windows 凭据,然后 IdP 将针对客户端 LDAP 验证这些凭据并提供 MY PRODUCT 有效响应,以便我可以直接为该 XYZ 用户启动会话,无需他的 UN 和 PASS。

一旦客户在您的 SaaS 服务和 IdP 之间建立了 SAML 信任,您将必须维护 IdP 查找数据库,即您的服务上的客户帐户和要路由到的 IdP。

即,Box 使用帐户的电子邮件地址来查找要路由到的 IdP;Salesforce 使用域(即 xxx.my.salesforce.com)路由到 IdP。

于 2014-07-29T23:02:54.557 回答