一个先驱:我现在已经在两个环境中工作,其中有相互矛盾的原则。我概述了相互竞争的想法,并想知道在描述的情况下哪个是“正确的”。
场景:我们的Intranet上存在多个应用程序。我们正在使用LDAP作为我们的身份验证控件和用户目录来实现OpenSSO。问题是,通过LDAP身份验证,我们知道内部网上允许用户,但有哪些应用程序可疑。
我们打算使用LDAP来控制每个用户可以访问的应用程序,例如帮助台,顾问审查,报告生成器,调查创建者等。
问题在于,每个应用程序中都有很多角色,而且人们可能有多个角色。
解决第二个问题的最佳方法是什么? Shoudl所有角色都在ldap中,或者只是应用程序允许的每个应用程序数据库包含更细粒度的角色?
答案 0 :(得分:5)
一种方法是使用LDAP来维护相对高级别的角色信息,但在每个应用程序内部保留非常详细的特定于应用程序的信息。
例如,个人可能是LDAP组(角色)的成员,如“员工”,“帮助台员工”,“服务台主管”等,然后各个应用程序将高级角色映射到特定于应用程序的功能。特定的高级角色可能意味着访问多个应用程序,不同的角色可能具有不同的访问级别。
例如,“帮助台助理”可能能够创建票证,但也许只有主管可以删除它们或运行报告。
这是没有正确答案的领域之一。集中在LDAP中的所有内容使您能够更好地报告/审核个人的访问权限,但代价是使您的中央LDAP模式与许多特定于应用程序的数据相混淆。此外,根据您尝试集成的现有/商业应用程序,应用程序可能不支持从LDAP中提取所有细粒度的访问信息。