我们的要求很简单。我们有一个 Web 应用程序,要求用户注册一个新帐户才能使用该服务。我们希望为用户提供使用其 AD 或 LDAP 凭据登录的功能,前提是客户端已经安装了 AD/LDAP 连接器。是否有任何服务可以做到这一点(提供连接器和 REST 接口以编程方式验证用户凭据),并执行一次性 API 集成,以便在我们的 Web 应用程序 www.mywebapp.com/login 上向用户显示登录表单,然后他们将输入他们的 AD/LDAP 用户名和密码,我们将使用 OneLogin API 对他们的用户目录进行验证
我浏览了 OneLogin 的 API 文档,但我没有看到任何方法可以做到这一点,尽管我可以在https://www.onelogin.com/active-directory-integration看到它是 OneLogin 的一个功能
在用户同步到 OneLogin 后(例如,通过 Active Directory 连接器或 LDAP 连接器),通过 REST API 的身份验证调用会将用户名/密码传送到正在同步的目录以进行验证——这应该满足您的用例.
例如,您可以使用https://developers.onelogin.com/api-docs/1/users/create-session-login-token之类的函数,或者只针对 LDAP 端点进行 LDAP 查询。
看看 OneLogin 的这个新的(ish)API -
https://developers.onelogin.com/api-docs/1/users/create-session-login-token
虽然它是为开发人员设计的,可以在 OneLogin 之上构建自己的前端,但它也可用于验证用户的凭据(如果您获得 session_token,则表示您已成功验证用户身份)
这应该通过 OneLogin “返回”以根据配置为处理身份验证的任何目录验证用户。
如果配置了第二个因素,则此调用具有支持第二个因素的额外好处。