在我看来,许多大型企业已经拥有强大的目录服务,例如 Active Directory,并且在特定于应用程序的商店中不断复制用户是很愚蠢的。
即使您需要复制用户存储,您也可以提供一种针对 Active Directory 进行身份验证的机制。或者,您可以支持利用 SAML 的基于标准的 SSO 机制。
支持 XACML 协议。复制有关角色和权利的信息同样是阴险的。
支持 SPML 协议。许多企业利用身份管理工具包,并且至少希望在集中管理和供应方面进行开箱即用的集成。
那么,为什么开源项目不将这种类型的功能视为在企业环境中引起关注的默认功能呢?
有很多原因,但最大的原因之一是,对于正确或最佳方法的真正含义,并没有你想象的那么容易。
例如,Active Directory 因给非 Microsoft 开发人员带来实施困难而臭名昭著。
可能有六种相互竞争的单点登录“标准”。
协调不同的角色/权限模型非常困难——该死,Sun 在协调 Solaris Trusted Extensions 模型与 Java 模型时遇到了麻烦。
解决这些问题并不是很“有趣”,因此 FOSS 开发人员会被其他问题所吸引。
我认为查理做到了:
解决安全问题很困难,而且通常没有很多乐趣
OSS 开发人员倾向于享受他们正在做的事情。作为我职业生涯的一部分,我从事一些“企业级”工作,我同意它们并不是很有趣。然而,这是我对 OSS 组件永无止境的悲痛之一……我们在解决方案中使用它们时遇到了麻烦,因为它们不能满足我们客户的需求。
我认为一般的原因是:
就个人而言,我责怪第一个。大多数工程师甚至没有考虑如何在更大的环境中使用应用程序。他们对解决手头的问题感兴趣,而对提供可用的解决方案完全不感兴趣。大多数 FOSS 解决方案是一个有趣问题的非常有趣的解决方案。公司实体通常会出现并提供使 FOSS 解决方案在真实环境中实际可用的商业包装。当然,这个包装附有价格标签。
Open ID 是提供“身份验证”解决方案的开始。(据我所知,它没有“配置”机制。您必须信任外部机构来识别帐户,然后使用您自己的设备添加您的站点/应用程序版本的该帐户)
如果有人知道某种开放的“授权”解决方案来集中管理角色,那也会很有趣。不过,这听起来像是你会在内部做的事情,角色在你的组织中具有明确的意义。不过,我相信 IBM 或 Oracle 会很乐意进行大量更改并为您做点什么:-)
您可能不希望您的活动目录/LDAP 包含您所有应用程序的所有用户的角色。如果你的结构中有很多运动,你可能会进行大量的日常修改。
此外,用户存储中的信息可能非常具体,并且可能在全局存储库中没有它的位置。
至少,角色的概念可能非常多变。我们有三个具有“经理”概念的应用程序,每个应用程序对什么是经理以及他/她管理谁的定义略有不同。
问候,纪尧姆