LDAP经常用于配置企业用户。它充当集中式用户存储。通过SCIM API轻松与SaaS集成。
但是,如果我们想要实现单一数据存储以进行身份验证,以便在多个网站中提供单点登录和轻松用户配置,但同一组织提供,那么对外部用户使用LDAP是个好主意。
有关LDAP和SCIM的所有描述都建议将SaaS集成到内部用户数据库或多个Intranet应用程序的用例。
如果没有,基于标准的方法是什么?会有什么挑战?
答案 0 :(得分:1)
LDAP是为任何类型的用户或设备存储身份信息的理想选择。比大多数关系数据库和现代LDAP服务器实现更快,可以扩展到非常大的容量。
对于单点登录,LDAP不提供任何帮助。 SAML或OpenID Connect将成为SSO的“当前最佳实践”。
SCIM 2.0非常适合作为身份信息存储对LDAP执行CRUD操作。
来自通用请求的挑战超出了stackoverflow的范围。
OpenID Connect的一大优点是它抽象了身份验证,然后SCIM也抽象了CRUD操作,因此后端无关紧要。
询问具体问题将获得最佳结果。
答案 1 :(得分:1)
作为一名顾问,我看到越来越多的大型企业开始采用行业术语“客户身份和访问管理”(CIAM)。这些大型组织的一个要素是外部用户的管理(如果您愿意,还可以是身份)。这些组织正在使用基于LDAP的用户目录来存储身份信息。这些体系结构分别使用SCIM,SAML和OIDC标准进行用户供应和联合。在我们的咨询中,我们已经看到许多不同的LDAP服务器用于此目的,包括Active Directory,AD-LDS,OpenLDAP,CA-LDAP,PingDirectory等。选择LDAP的关键是规模和性能参数,因此在做出选择时对于该技术,请务必询问存储库大小和压缩,索引速度和技术实现,基础数据管理和数据同步。
至于上面的无耻插件,我熟悉PingDirectory(以前称为UnboundID),这是一个很好的规模和性能产品,因为它内置了一些功能,可以很好地扩展。实际上,它源于电信行业,其中有数千万客户用户实施。作为分析的一部分,确定哪种技术最适合您的用例,我会看一下该产品。