使用LDAP和Java EE分离旧系统中的身份验证和授权

时间:2013-01-30 19:09:53

标签: authentication ldap authorization kerberos saml

我有一个遗留的自定义“ID集线器”,它在内部关系数据库中保存身份验证和授权数据 - 没有LDAP,ActiveDirectory等。 “ID中心”公开了使用自定义“登录令牌”操作的自定义遗留API - 成功调用登录操作会返回一个用于检索授权信息等的令牌。

我正在重新设计“ID中心”,以便将其身份验证数据提取到适当的目录中,该目录提供LDAP接口。鉴于用户名将是匹配身份验证和授权条目的“关键”,我相信ID中心的接口可以保持不变,同时适应实现,包括。从ID集线器到身份验证目录的访问。由于我的应用程序依赖于ID集线器,因此ID集线器的旧接口尚不能退役。

我的问题是:在第二步中,我还需要对ID中心进行现代化,以便切换角色:应用程序将访问上述目录,该目录将不再仅仅是身份验证,但现在还会公开授权接口(例如,再次使用LDAP)并充当入口点,而不是“ID集线器”。同时,授权数据保留在传统的“ID集线器”中是很重要的。

我的问题是:如何以可靠的方式使该目录中的“ID集线器”可调用,即如何解决“ID集线器”需要来自“前端目录”的关于用户的可信信息的问题谁经过验证?即使这两个组件在公共可信环境中运行,我也不希望将用户名(= joint,primary key)作为唯一信息传递。

目录和旧ID中心之间可以使用哪些接口?这可能使用SAML 2.0或LDAP吗?我还需要考虑目录通过Kerberos对用户进行身份验证的情况。

任何建议都将不胜感激!

三苦

1 个答案:

答案 0 :(得分:0)

您询问目录和ID-hub之间可以使用哪些接口。这取决于两者的共同点。

如果您将SAML IDP放在目录前,则可以使用SAML。前提是您的ID-hub支持SAML课程。在这种情况下,SAML可以是一种方法。我是交换授权信息的行业标准。