LDAP для контроля доступа к приложениям, сколько он должен контролировать? - PullRequest
Новая
       22

LDAP для контроля доступа к приложениям, сколько он должен контролировать?

7 голосов
/ 29 июля 2010

Предшественник: я работал сейчас в двух средах с конфликтующими принципами по этому вопросу. Я обрисовываю в общих чертах конкурирующие идеи и хотел бы знать, что является «правильным», учитывая описанный сценарий.

Сценарий. В нашей внутренней сети существует несколько приложений. Мы внедряем OpenSSO с LDAP в качестве нашего элемента управления аутентификацией и пользовательского каталога. Проблема в том, что с аутентификацией LDAP мы знаем, что пользователю разрешен доступ в интрасети, но какие приложения сомнительны.

Мы намерены использовать LDAP для контроля того, к каким приложениям каждый пользователь может получить доступ, например, к службе поддержки, обзору консультанта, генератору отчетов, создателю опроса и т. Д.

Вопрос заключается в том, что в каждом приложении имеется значительное количество ролей и тот факт, что у людей может быть несколько ролей.

Каков наилучший способ решения этой второй области? ВСЕ роли должны быть в ldap или только в приложениях с каждой базой данных приложения, содержащей более детализированные роли?

1 Ответ

5 голосов
/ 29 июля 2010

Один из подходов заключается в использовании LDAP для поддержки относительно высокоуровневой информации о роли, но при этом храните очень подробную информацию о конкретном приложении для каждого приложения.

Например, отдельные лица могут быть членами групп LDAP (ролями), такими как «сотрудник», «сотрудник службы поддержки», «руководитель службы поддержки» и т. д., а затем отдельные приложения будут отображать роли высокого уровня в функции, специфичные для приложения.Определенная высокоуровневая роль может подразумевать доступ к нескольким приложениям, а разные роли могут иметь разные уровни доступа.

Например, «сотрудник службы поддержки» может создавать заявки, но может быть только супервизором.можете удалить их или запустить отчеты.

Это одна из тех областей, где нет единого правильного ответа.Централизация всего в LDAP дает вам лучшую возможность сообщать / проверять доступ отдельных лиц за счет усложнения вашей центральной схемы LDAP с большим количеством данных для конкретного приложения.Кроме того, в зависимости от того, какие существующие / коммерческие приложения вы пытаетесь интегрировать, приложения могут не поддерживать получение всей своей детальной информации о доступе из LDAP.

...