集中验证服务器OpenAM与FreeRadius

Question

基本要求是集中多个SaaS应用程序的身份验证和授权，以简化开发（每个SaaS应用程序使用最少的代码对单个源进行身份验证），并在必要时提供SSO。身份验证机制必须处理用户可用的以下选项：

1. 使用第三方身份验证 - Google
2. 使用我们的集中身份验证
3. 使用公司提供的身份验证（ADFS）

在我的研究中，我发现可以做很多很多方法，并且发现OpenAM是最完整的解决方案，但后来我遇到了FreeRadius，它也可以使用。

我的问题是：

1. 似乎每个工具都有一个插件可以同时使用另一个（OpenAM - 对半径服务器进行身份验证），但是有任何用例，其中FreeRadius首选作为SOLE身份验证服务器OpenAM。

2. OpenAM是否要求为服务器安装Web代理 - 如果我所做的只是提供Restful接口（在Node.js中开发） - 是否可以在不安装Web代理的情况下对用户进行身份验证（有没有Node.js的Web代理）。

3. 我可以从浏览器传递用户凭据 - ＆gt;服务器（node.js） - ＆gt;因此，OpenAM不向用户提供OpenAM登录屏幕。 OpenAM令牌将从OpenAM传递 - ＆gt;服务器 - ＆gt;浏览器（将cookie的来源设置为SaaS的应用程序。 也就是说，每个SaaS应用服务器都将充当用户管理的“代理”（验证，授权和管理[创建|更新|删除]用户）

谢谢

Answer 1

我很早就参加了Open Identity Stack游戏，但我正在部署基于OpenAM（和OpenIDM + OpenDJ）的解决方案来处理你提到的解决方案。

直接答案：

1. 就将单一身份验证交给FreeRadius而言，我不明白为什么你会想要，但一切皆有可能。鉴于您提到了多个目录（身份来源 - 谷歌，ADFS和您的集中身份验证），我认为连接OpenAM以提供RADIUS身份验证（即OpenAM RADIUS挂钩，而不是FreeRadius）是有意义的。
2. 不，不必应用Web代理，但可能有意义。有一些node.js要帮助（https://github.com/alesium/node-openam）。您只需要从服务器与OpenAM端（REST）进行通信，这应该是好的。
3. 您可以这样做，或者您可以将OpenAM登录屏幕设置为自己的样子。我建议后者，因为你依靠OpenAM来登录屏幕安全性。如果你正在做一个纯粹的代理，那么你就要承担这个负担。您的电话显然是一个设计决定。
祝你好运！

Answer 2

您正在将RADIUS服务器与Web SSO解决方案进行比较......我不确定这是否合理。

FreeRadius似乎没有那么多'auth后端'（就像Oauth利用Google Auth一样）

Answer 3

我本人正在针对类似需求寻找解决方案，但是我也希望集成2FA。我见过很多不同的解决方案，但还没有确定最好的解决方案。到目前为止，这是我想出的：

1. RCDev OpenID似乎非常全面，对于用户少于40个的情况是免费的。
2. Green Rocket的GreenRADIUS昂贵，但它们具有适用于每种情况的插件，并且可以正常工作。
3. 红帽的KeyCloak可以与TACACS +或FreeRADIUS结合使用来实现此目的