Depois de alguma ajuda teórica sobre a melhor abordagem para permitir que um produto SaaS autentique usuários no servidor interno do Active Directory (ou outro LDAP) de um inquilino.

O aplicativo está hospedado, mas existe um requisito para que os inquilinos possam delegar autenticação ao provedor de gerenciamento de usuários existente, como AD ou OpenLDAP, etc. Ferramentas como a bolsa hospedada do Microsoft Online suportam a sincronização corporativa do AD.

Supondo que o cliente não queira encaminhar a porta 389 para o controlador de domínio, qual é a melhor abordagem para isso?