Поставщик аутентификации / авторизации: какой выбрать для 1-дневного проекта?

Question

Для 1-дневного проекта (назовите его хакатоном) мы будем искать замену специально созданной системы аутентификации и авторизации на ту, которую мы можем купить. В конце концов, есть люди, которые лучше в этом деле, чем мы.

• Без облачных вычислений, жесткие требования локальная установка возможно
• Может аутентифицироваться в Active Directory с использованием LDAP
• Может проверять подлинность с использованием SAML для ADFS
• Управление пользователями, ролями и т. Д. Без каталога является опцией (наиболее вероятная опция для фактического использования во время хакатона)
• Использовать открытые стандарты, SAML, OpenID, OAuth2

Существует так много продуктов на основе SAML, но многие из них предназначены только для облачных вычислений, что, к сожалению, для нас не вариант (причина: наши продукты работают в закрытых корпоративных сетях), поэтому такие службы, как Okta, к сожалению, не подходят :(

Следующий список довольно полон, но не дает никаких указаний на то, насколько сложно это установить. * Встать и запустить в течение нескольких часов :

https://en.wikipedia.org/wiki/SAML-based_products_and_services

Какие-либо предложения для продуктов, чтобы попробовать?

Мой взгляд привлек их: miniOrange, Ping Identity, 10duke

* +1033 * [дополнение] Я использую стек Java для веб-приложений.

Answer 1

Как собрать и запустить Shibboleth SAML IdP и SP с использованием контейнера Docker в репозитории GitHub содержит инструкцию по созданию провайдера аутентификации / авторизации на основе SAML с использованием Shibboleth SAML IdP и OpenLDAP.

• Shibboleth SAML IdP отвечает за федерацию идентификации.

• OpenLDAP отвечает за аутентификацию личности.

Я проверил единый вход в систему SAML (SSO), предоставляемый Shibboleth SAML IdP под управлением Docker.(Identity Provider) и OpenLDAP для следующих корпоративных приложений.Другими словами, я использовал IdP Shibboleth SAML и OpenLDAP под управлением Docker для успешного входа в следующие корпоративные приложения.

Microsoft Office 365
Google G Suite
Salesforce
Dropbox
Box
Amazon AWS
OpenStack
Citrix NetScaler
VMware vCloud Director
Oracle NetSuite

Другой вопрос StackOverflow Настройка нового IdP Shibboleth для работы с существующим SAML SP обсуждает конфигурацию SAML между IdP и SP.

Answer 2

FOSS - Shibboleth или KeyCloak

Определение «закрытой» (сети) может быть интересно изучить.Нет доступа на улицу вообще, ни на какой порт, сейчас / нет?В таком случае, да, вам нужна предварительная услуга.Если есть закрытый доступ снаружи, вполне вероятно, что многие размещенные службы идентификации могут работать.

Answer 3

OpenLDAP не является OpenID Connect или OAuth 2.0

Посмотрите на identityserver4 .

Это дизайн OpenID Connect / OAuth2, и у него есть подключаемый стек SAML.

Или, если у вас сервер Windows, используйте ADFS.