Моя компания разрабатывает и продает SaaS-приложение, которое имеет сотни клиентов. Некоторые из наших клиентов попросили нас поддержать интеграцию LDAP для аутентификации учетных записей пользователей в их существующих системах вместо того, чтобы создавать новую учетную запись для каждого из своих сотрудников. Похоже, во многих местах это называется единой регистрацией (SSO)? Естественно, в нашей системе уже есть механизм для поддержки профилей учетных записей пользователей и аутентификации этих учетных записей на нашей странице входа.

Мы немного не осведомлены о LDAP и запутаны в нескольких вещах. Пожалуйста, извините за возможное использование неправильной терминологии (помните, мы немного неосведомлены об этом).

Мы думаем, что понимаем основы того, как это может работать:

Наш клиент настраивает свою учетную запись, чтобы «включить» функцию «удаленной аутентификации» для своей учетной записи. Они предоставляют удаленный URL, который аутентифицирует пользователей.Пользователи заходят на нашу страницу входа и пытаются войти, используя свое имя пользователя и пароль, предоставленные системой LDAP их компании.Наша страница входа будет безопасно пересылать учетные данные (предположительно зашифрованные и хэшированные в некотором согласованном формате) на URL-адрес «удаленной аутентификации», предоставленный нашим клиентом.Сценарий клиента аутентифицирует пользователя и затем перенаправляет его обратно на наш сайт с «статусом аутентификации».Наша страница проанализирует «статус аутентификации» и либо примет пользователя как вошедшего в систему, либо нет.

Предполагая, что приведенная выше информация является даже полу-правильной, нам все еще нужно, чтобы у каждого пользователя была учетная запись в нашей системе. Разве нам не понадобится способ синхронизировать наши профили учетных записей с профилями пользователей в каталоге LDAP? Это просто «внешний идентификатор», который ссылается на идентификатор пользователя в системе LDAP? Тогда потребуется ли, чтобы сценарий «удаленной аутентификации» клиента предоставил этот идентификатор нашей системе, чтобы мы знали, с какой учетной записью в нашей системе нужно связать имя входа?

Чего нам не хватает?

Кстати, наша платформа - это IIS, ASP.Net 2.0 и SQL Server 2005.