Параметры многодоменной аутентификации для Google App Engine

Question

Я ищу несколько предложений по реализации аутентификации (и авторизации) в нашем приложении GAE.Предполагая, что наше приложение называется someapp , наше требование следующее:

someapp в основном для приложений Googleпользователи домена, для которого он установлен, но также могут аутентифицировать пользователей из других доменов приложений Google.

Например, предположим, что приложения google настроены на domainX.com и domainY.com.Кроме того, администратор домена domain.com добавил в свой домен someapp из магазина приложений.Администратор для domainX.com приглашает userA@domainX.com и userB@domainY.com войти в приложение.Оба пользователя домена приложения Google должны иметь возможность использовать свои функции единого входа (единый вход).

Насколько нам известно, текущие параметры аутентификации в обработчике приложений разрешают вход в любой домен, что разрешает только пользователямодин домен для входа в приложение или федеративный / openid логин, который позволит пользователям любого домена входить в приложение.Не существует промежуточной опции, которая позволяла бы только пользователям ранее авторизованных доменов входить в приложение.Означает ли это, что наш единственный вариант - оставить в стороне аутентификацию приложений Google и внедрить собственную настраиваемую аутентификацию?

Также в нашем примере выше, что, если domainX.com и domainY.com добавили someapp .Если userA@domainX.com переходит к someapp.appspot.com , то будет использоваться установка приложения, установленная на domainX.com или установленная на domainY.com.

Answer 1

Аутентификация не подразумевает авторизацию.Все, что система федеративной идентификации делает для вашего приложения, - это дает вам имя пользователя / ИД пользователя, которому вы можете доверять.Таким образом, вы можете настроить свои учетные записи пользователей, привязанные к этой информации, и полагаться на тот факт, что всякий раз, когда вы видите этот идентификатор пользователя, вы общаетесь с одним и тем же пользователем.Или в случае доменных приложений, когда вы видите кого-то с этим доменом в его идентификаторе пользователя.

Ваше приложение полностью решает, имеет ли этот идентификатор пользователя какое-либо значение в вашем приложении.Если я сейчас войду в ваше приложение с моей учетной записью Google, на нем должно появиться сообщение «О, я вас раньше не видел, хотите присоединиться?»... он должен (в зависимости от вашего приложения) не просто предполагать, что я уполномочен использовать ваше приложение, просто потому, что я назвал вам свое имя.

Я не уверен, откуда у вас "модель входа в домен"" от?Доступны только два варианта: Учетная запись Google и Открыть / FederatedID . Ни один из этих способов не пытается ограничить доступ пользователей.

В последнем примере пользователи из нескольких учетных записей Google увидятразные результаты в зависимости от того, имеют ли они возможность многократного входа или нет.Большинству пользователей перед продолжением будет предложен экран, позволяющий выбрать, какую учетную запись Google они имеют в виду.