Mic*_*ins 20 authentication ldap saas active-directory
在获得有关允许SaaS产品根据租户的内部Active Directory(或其他LDAP)服务器对用户进行身份验证的最佳方法的一些理论帮助之后.
托管应用程序,但要求租户可以将身份验证委派给其现有的用户管理提供程序(如AD或OpenLDAP等).Microsoft Online的托管交换机等工具支持企业AD同步.
假设客户端不想将端口389转发到其域控制器,那么最佳方法是什么?
Mic*_*ins 17
在做了一些研究并与一些管理这个的系统管理员交谈后,我们已经确定了两个选项,这应该满足大多数人.我会在这里为那些对结果感兴趣的人描述它们.
身份验证服务安装在origanisation的DMZ中
如果用户希望利用本地活动目录服务器进行身份验证,则需要在其DMZ中安装代理并向其中打开端口443.我们的服务将配置为使用此服务执行身份验证.
此服务将位于DMZ中,并从SaaS应用程序接收身份验证请求.该服务将尝试使用这些凭据绑定到活动目录,并返回状态以指示成功或失败.
在这种情况下,应用程序的基于表单的身份验证不会更改,并且用户将不会知道幕后的身份验证.
的OpenID
与第一种方法类似,服务将安装在客户端的DMZ中,端口443将被打开.这将是一个OpenId提供商.
SaaS应用程序将成为OpenId消费者(已经用于Facebook,Twitter,Google等登录).
当用户希望登录时,将显示OpenId提供商,要求他们输入用户名和密码.此登录屏幕将从客户端的DMZ提供.用户永远不会在SaaS应用程序中输入用户名或密码.
在这种情况下,现有的基于表单的身份验证将替换为客户端DNZ中的服务的OpenId身份验证.
我们正在调查的第三个选项是Active Directory联合服务,但这是Active Directory专有的.另外两个解决方案支持互联网上任何基于LDAP的身份验证.
| 归档时间: |
|
| 查看次数: |
6618 次 |
| 最近记录: |