LDAP 经常用于供应企业用户。它充当集中式用户存储。易于与带有 SCIM API 的 SaaS 集成。
但是,如果我们想要实现单一数据存储进行身份验证,以便在多个网站中实现单一登录和轻松用户配置,但由同一组织提供,那么为外部用户使用 LDAP 是否是一个好主意。
所有关于 LDAP 和 SCIM 的描述都建议将 SaaS 集成到内部用户数据库或多个 Intranet 应用程序的用例。
如果不是,那么基于标准的方法是什么?将面临哪些挑战?
问问题
689 次
2 回答
2
LDAP 是为任何类型的用户或设备存储身份信息的理想选择。比大多数关系数据库更快,现代 LDAP 服务器实现可以扩展到非常大的容量。
对于单点登录,LDAP 没有提供任何帮助。SAML 或 OpenID Connect 将是 SSO 的“当前最佳实践”。
SCIM 2.0 非常适合作为身份信息存储对 LDAP 执行 CRUD 操作。
来自通用请求的挑战超出了 stackoverflow 的范围。
OpenID Connect 的一大优点是它抽象了身份验证,然后 SCIM 还抽象了 CRUD 操作,因此后端无关紧要。
提出具体问题将获得最佳结果。
于 2017-03-07T11:13:11.770 回答
1
作为一名顾问,我看到越来越多的大型企业使用称为客户身份和访问管理 (CIAM) 的行业流行语来启动计划。这些大型组织的要素之一是管理外部用户(或您喜欢的身份)。这些组织正在使用基于 LDAP 的用户目录来存储身份信息。这些架构确实分别使用 SCIM、SAML 和 OIDC 标准进行用户配置和联合。在我们的咨询中,我们看到了许多不同的 LDAP 服务器,包括 Active Directory、AD-LDS、OpenLDAP、CA-LDAP、PingDirectory 等。选择 LDAP 的关键是规模和性能参数,所以在选择时对于技术,请务必询问存储库大小和压缩、索引速度和技术实施,
至于上面那个不要脸的插件,我很熟悉 PingDirectory(以前称为 UnboundID),它是一个在规模和性能方面都很棒的产品,因为它内置了一些功能,可以很好地扩展。事实上,它植根于电信行业,那里有数以千万计的客户用户。作为您确定哪种技术最适合您的用例的分析的一部分,我会看一下该产品。
于 2017-03-08T15:11:13.060 回答