先驱:我现在在两个环境中工作过,这方面的原则相互冲突。我正在概述相互竞争的想法,并想知道在所描述的情况下哪个是“正确的”。
场景:我们的 Intranet 上存在多个应用程序。我们正在使用 LDAP 作为我们的身份验证控制和用户目录来实施 OpenSSO。问题来了,通过 LDAP 身份验证,我们知道允许用户访问 Intranet,但对哪些应用程序存在疑问。
我们打算使用 LDAP 来控制每个用户可以访问哪些应用程序,即帮助台、顾问审查、报告生成器、调查创建者等。
问题在于,在每个应用程序中都有大量的角色,而且人们可能有多个角色。
解决第二个领域的最佳方法是什么?应该所有角色都在 ldap 中,还是只是应用程序允许,每个应用程序数据库都包含更细化的角色?