Наша текущая программная архитектура состоит из набора локальных приложений, которые слабо интегрированы в набор веб-приложений, размещенных в Интернете. Я ищу программное обеспечение SSO / Identity Management, которое может обрабатывать эту архитектуру в среде с очень высокой степенью доступности.
- В каждом помещении всего 10-1000 пользователей
- Каждое помещение обладает функциональностью, которая требуется для обеспечения доступности не менее 99,999% (а для обработки на месте пользователя потребуется, по крайней мере, такая возможность)
- В каждом помещении может быть существующая управляемая клиентом установка Microsoft Active Directory, с которой нам нужно будет интегрироваться, но мы также должны иметь возможность работать автономно
- Каждое помещение должно будет синхронизировать (в идеале сконфигурированное подмножество) информацию о пользователях / разрешениях с нашими интернет-приложениями, и в идеале таким образом, чтобы центральная аутентификация пользователей могла все еще работать, даже если провайдер нашего клиента не работает в течение длительных периодов времени ,
- Кроме того, поскольку каждый клиент рассматривается как отдельный доверенный домен, мы не можем сделать эквивалент установки гигантского леса AD для всех наших клиентов
- Этот протокол синхронизации должен корректно обрабатывать различия версий между клиентами и нашей установкой в Интернете.
- Мы должны вести журналы аудита не менее 3-7 лет и не более
- Некоторые веб-приложения должны иметь возможность работать локально и через Интернет, поэтому для нашего интернет-подхода было бы идеально соответствовать нашему локальному подходу (и даже быть тем же программным обеспечением)
- Наши серверы полностью работают на Linux, хотя у нас есть клиентские приложения для Windows и веб-приложения
Azure Active Directory, похоже, помогает с облачной стороны, но
- это не помогает с нашими локальными приложениями
- настроить его (потому что Active Directory будет вне нашего контроля) может быть довольно сложно, по крайней мере, более трудным, чем получение доступа LDAP / Kerberos, и для него требуются гораздо более строгие разрешения от AD
- однако, это может быть самый простой способ получить хеши паролей из Active Directory
Я смотрел на другое программное обеспечение, но бит синхронизации кажется ключевым; кроме Azure Active Directory я не нашел ничего, что синхронизировало бы от установки с одним арендатором до установки с несколькими арендаторами таким способом.