Я должен начать реализацию этого для будущего проекта, и я серьезно склоняюсь к варианту № 3 для простоты.

некоторой теоретической помощи о том, как лучше всего разрешить продукту SaaS аутентифицировать пользователей на внутреннем сервере Active Directory (или другом LDAP) клиента.

Приложение размещено, но существует требование, чтобы арендаторы могли делегировать аутентификацию своему существующему провайдеру управления пользователями, такому как AD или OpenLDAP и т. Д. Такие инструменты, как размещенный в Microsoft Online обмен, поддерживают корпоративную синхронизацию AD.

Предполагая, что клиент не хочет переадресовывать порт 389 на свой контроллер домена, каков наилучший подход для этого?

 Simon East16 июл. 2015 г., 08:33
Этот вопрос очень похож наstackoverflow.com/questions/8934753/... а такжеstackoverflow.com/questions/2567919/...
 Harvey Kwok12 янв. 2011 г., 01:31
Хороший вопрос. Я также хотел бы знать

Ответы на вопрос(5)

Решение Вопроса

министраторами, которые будут управлять этим, мы остановились на двух вариантах, которые должны удовлетворить большинство людей. Я опишу их здесь для тех, кто также был заинтересован в результате.

Служба аутентификации установлена в демилитаризованной зоне

Если пользователи хотят использовать аутентификацию на локальном сервере активных каталогов, они должны будут установить агент в своей DMZ и открыть для него порт 443. Наш сервис будет настроен на использование этого сервиса для аутентификации.

Эта служба будет находиться в демилитаризованной зоне и получать запросы на аутентификацию от приложения SaaS. Служба попытается выполнить привязку к активному каталогу с этими учетными данными и вернет статус, указывающий на успех или неудачу.

В этом случае аутентификация на основе форм приложения не изменится, и пользователь не узнает об аутентификации за кулисами.

OpenId

Как и в первом подходе, служба будет установлена в демилитаризованной зоне клиента, и будет открыт порт 443. Это будет поставщик OpenId.

Приложение SaaS будет потребителем OpenId (уже для входа в Facebook, Twitter, Google и т. Д.).

Когда пользователь желает войти в систему, будет представлен поставщик OpenId с просьбой ввести свое имя пользователя и пароль. Этот экран входа будет обслуживаться из DMZ клиента. Пользователь никогда не введет свое имя пользователя или пароль в приложение SaaS.

В этом случае существующая аутентификация на основе форм заменяется аутентификацией OpenId из службы в DNZ клиента.

Третий вариант, который мы исследуем, - это федеративные службы Active Directory, но он является собственностью Active Directory. Два других решения поддерживают любую аутентификацию на основе LDAP через Интернет.

 Justin27 дек. 2011 г., 20:16
эта информация действительно полезна Мне любопытно, если вы в конечном итоге реализовали какое-либо из этих решений. было бы замечательно, если бы вы могли поделиться какими-либо уроками, извлеченными из AD аутентификации для SaaS.

Установка чего-либо на контроллере домена для записи всех пользовательских изменений (добавления, удаления, изменения пароля) и отправки обновлений на удаленный сервер. К сожалению, у веб-сайта нет возможности узнать первоначальные пароли пользователей - только новые после их изменения.

Предоставьте доступ веб-серверу для подключения к контроллеру домена через LDAP / WIF / ADFS. Вероятно, это будет означать открытие входящих портов в брандмауэре компании для разрешения определенного IP-адреса.

В противном случае, обойти имена пользователей / пароли и использоватьаутентификация на основе электронной почты вместо. Пользователи должны будут проходить аутентификацию по электронной почте один раз в 3-6 месяцев для каждого устройства.

Я должен начать реализацию этого для будущего проекта, и я серьезно склоняюсь к варианту № 3 для простоты.

могут отключить это, чтобы только ваши серверы имели доступ, если они обеспокоены тем, что это общедоступно. Поскольку это SSL, он защищен от начала до конца. Все, что вам нужно от них - это сертификат их выдающего центра сертификации (если он не является общедоступным). Я изо всех сил пытался заставить это работать для внутреннего веб-проекта в демилитаризованной зоне, и в Интернете действительно отсутствуют какие-либо руководства. Поэтому я написал один, когда у меня получилось:

http://pcloadletter.co.uk/2011/06/27/active-directory-authentication-using-ldaps/

 Rodolfo Gonçalves16 нояб. 2017 г., 19:03
Спасибо, что нашли время написать это руководство.

Этот продавец,Stormpathпредлагает услугу: аутентификацию пользователя, управление учетными записями пользователей, а также подключение к локальным каталогам ваших клиентов.

а затем зарегистрироваться у провайдеров идентификации, таких как Okta или OneLogin. После этого вы также можете подключить его к ADFS, чтобы обеспечить единый вход для веб-приложения через Active Directory.

Я просто делаю это исследование сам, и это то, с чем я столкнулся, будет больше обновлений, как только реализация будет завершена. Надеюсь, что это даст вам достаточно ключевых слов, чтобы сделать еще один поиск в Google

 Simon East16 июл. 2015 г., 07:55
Спасибо Реза. Какие-нибудь дальнейшие обновления с апреля? Я тоже исследую то же самое.

Ваш ответ на вопрос