先驱:我现在在两个环境中工作过,这方面的原则相互冲突。我正在概述相互竞争的想法,并想知道在所描述的情况下哪个是“正确的”。
场景:我们的 Intranet 上存在多个应用程序。我们正在使用 LDAP 作为我们的身份验证控制和用户目录来实施 OpenSSO。问题来了,通过 LDAP 身份验证,我们知道允许用户访问 Intranet,但对哪些应用程序存在疑问。
我们打算使用 LDAP 来控制每个用户可以访问哪些应用程序,即帮助台、顾问审查、报告生成器、调查创建者等。
问题在于,在每个应用程序中都有大量的角色,而且人们可能有多个角色。
解决第二个领域的最佳方法是什么?应该所有角色都在 ldap 中,还是只是应用程序允许,每个应用程序数据库都包含更细化的角色?
一种方法是使用 LDAP 来维护相对高级别的角色信息,但在每个应用程序内部保留非常详细的应用程序特定信息。
例如,个人可能是 LDAP 组(角色)的成员,如“员工”、“服务台助理”、“服务台主管”等,然后各个应用程序会将高级角色映射到应用程序 -具体功能。一个特定的高级角色可能意味着访问多个应用程序,并且不同的角色将具有不同的访问级别。
例如,“服务台助理”可能能够创建工单,但可能只有主管才能删除它们或运行报告。
这是没有一个正确答案的领域之一。集中 LDAP 中的所有内容使您能够更好地报告/审核个人的访问,但代价是使您的中央 LDAP 模式与大量特定于应用程序的数据变得复杂。此外,根据您尝试集成的现有/商业应用程序,这些应用程序可能不支持从 LDAP 中提取所有细粒度的访问信息。