Проведя некоторое исследование и поговорив с несколькими системными администраторами, которые будут управлять этим, мы остановились на двух вариантах, которые должны удовлетворить большинство людей.Я опишу их здесь для тех, кто также был заинтересован в результате.
Служба аутентификации, установленная в DMZ
* 1006 при создании, если пользователи хотят использовать аутентификацию с включенным-принимает активный сервер каталогов, который им потребуется для установки агента в их DMZ и открытия порта 443 для него.Наш сервис будет настроен на использование этого сервиса для аутентификации.
Этот сервис будет находиться в демилитаризованной зоне и получать запросы на аутентификацию от приложения SaaS.Служба попытается выполнить привязку к активному каталогу с этими учетными данными и вернет статус, указывающий на успех или неудачу.
В этом случае аутентификация на основе форм приложения не изменится, и пользователь не будет знать об аутентификациинегласно.
OpenId
Подобно первому подходу, служба будет установлена в демилитаризованной зоне клиента, и будет открыт порт 443.Это будет поставщик OpenId.
Приложение SaaS будет потребителем OpenId (уже для входа в Facebook, Twitter, Google и т. Д.).
Когда пользователь желает войти, OpenIdбудет представлен провайдер с просьбой ввести имя пользователя и пароль.Этот экран входа будет обслуживаться из DMZ клиента.Пользователь никогда не введет свое имя пользователя или пароль в приложение SaaS.
В этом случае существующая аутентификация на основе форм заменяется аутентификацией OpenId из службы в DNZ клиента.
AТретий вариант, который мы исследуем, - это федеративные службы Active Directory, но он является собственностью Active Directory.Два других решения поддерживают любую аутентификацию на основе LDAP через Интернет.