Luego de alguna ayuda teórica sobre el mejor enfoque para permitir que un producto SaaS autentique a los usuarios contra el servidor interno de Active Directory (u otro LDAP) del inquilino.

La aplicación está alojada, pero existe el requisito de que los inquilinos puedan delegar la autenticación a su proveedor de administración de usuarios existente, como AD u OpenLDAP, etc. Las herramientas como el intercambio alojado de Microsoft Online admiten la sincronización de AD corporativa.

Suponiendo que el cliente no quiere reenviar el puerto 389 a su controlador de dominio, ¿cuál es el mejor enfoque para esto?