Поддержка единого входа в Active Directory

Question

У нас есть приложение SaaS, написанное на .NET, и мы должны предложить нашим клиентам различные методы SSO.

Некоторое время назад мы стандартизировали OpenID, надеясь, что это станет универсальным стандартом и освободит нас.от необходимости поддерживать разные стандарты.К сожалению, предприятия так и не получили доступ к OpenID, и нас всегда просят поддержать Active Directory.(Наше приложение просто нуждается в базовой аутентификации, а не в детальной авторизации для использования различных объектов / разрешений / и т. Д.)

Мы надеемся избежать дополнительной разработки - если мы хотим предложить простую интеграцию снаибольшее количество пользователей Windows AD, которые мы должны поддерживать - LDAP или SAML?А если SAML, 1.x или 2.x?

Answer 1

Огромная разница между поддержкой LDAP и SAML для единого входа. Я предполагаю, что почти каждому корпоративному клиенту вам не понравится, когда вы открываете порт брандмауэра непосредственно в их хранилище AD / LDAP, содержащее все их пользовательские данные. Скорее всего, у них будет какое-то решение на основе SAML, которое обеспечивает НАМНОГО более безопасное решение SSO. Компании также начинают настаивать на том, чтобы сотрудники вводили корпоративные пользовательские кредиты в формы входа, не размещаемые компанией (помогает уменьшить фишинг).

Поскольку вы уже являетесь SaaS, почему бы не использовать службу , которая обеспечивает поддержку SAML для вашего приложения, так что вам это не нужно? Проверьте PingConnect для провайдеров SaaS . [Примечание: я работаю для Ping] Ничего не устанавливается, только незначительные изменения кода в логике аутентификации в вашем приложении. Если вы действительно хотите локальное решение SAML, то существует более 150 SaaS-провайдеров, которые используют наше программное обеспечение PingFederate для предоставления поддержки протокола SAML 1.0 / 1.1 / 2.0 / WS-Fed своим клиентам.

HTH - Ян

Answer 2

Вы можете включить единый вход для базы пользователей в Active Directory с SAML2, OpenID или с поддержкой пассивной STS.Важно иметь поддержку нескольких протоколов, поскольку разные приложения способны поддерживать разные протоколы.Например, Google Apps, Salesforce поддерживают SAML2, в то время как LifeRay, Drupal поддерживают OpenID.

Отказ от ответственности: я являюсь архитектором из WSO2

с открытым исходным кодом WSO2 Identity Server может быть развернут в активном каталоге [просто в конфигурации], и он автоматически предоставит всем пользователям AD OpenID.

Кроме того, Identity Server можно использовать в качестве SAML2 IdP, OpenID-провайдера или в качестве PassiveSTS IdP.

Специально при предоставлении единого входа для пользователей SharePoint - вам может понадобиться использовать PassiveSTS.

Вы можете увидеть облачное развертывание WSO2 Identity Server с здесь ..

Если ваша проблема связана с поставщиком услуг, то было бы идеально иметь SAML2, а также поддержку OpenID ...

Answer 3

Если вы хотите быстро и напрямую обратиться к Active Directory, LDAP - самый короткий путь.

Но для меня LDAP и SAML охватывают разные области.

С одной стороны, LDAPоткрытый протокол, который позволяет вам прямой доступ к серверу аутентификации.Вы остаетесь независимыми от каталога LDAP.

С другой стороны, я думаю, что если пользователи вашего сервиса могут проходить аутентификацию в своих компаниях, SAML позволит вам установить доверительные отношения с этими компаниями и избежатьуправление пользователем / паролем.Для вашего клиента, который развертывает Active-Directory, давайте взглянем на Службы федерации Active Directory .