我们有一个用.NET编写的SaaS应用程序,我们需要为客户提供各种SSO方法。
不久前,我们对OpenID进行了标准化,希望这将成为一种通用标准,并使我们不必支持不同的标准。不幸的是,企业从未完全加入OpenID,我们总是被要求支持Active Directory。 (我们的应用程序只需要基本身份验证,而不是使用不同对象/权限等的细粒度授权。)
我们希望避免大量的额外开发 - 如果我们想要提供与大多数Windows A.D.用户的轻松集成,我们应该支持哪些用户 - LDAP或SAML?如果SAML,1.x或2.x?
答案 0 :(得分:2)
LDAP和SAML支持SSO之间存在巨大差异。我想,你所拥有的几乎每个企业客户都不会喜欢你直接打开一个包含所有用户数据的AD / LDAP商店的防火墙端口。他们更有可能拥有某种基于SAML的解决方案,从而提供更安全的SSO解决方案。公司也开始将员工输入企业用户信誉的能力推迟到非公司托管的登录表格中(有助于减少网络钓鱼)。
由于您已经是SaaS,为什么不使用提供应用程序SAML支持的服务,以便您不必?查看PingConnect for SaaS Providers。 [注意:我为Ping工作]无需安装,只需对应用程序中的auth逻辑进行一些次要代码更改。如果您真的想要一个内部部署的SAML解决方案,那么有150多家SaaS提供商使用我们的PingFederate软件为其客户提供SAML 1.0 / 1.1 / 2.0 / WS-Fed协议支持。
HTH - Ian
答案 1 :(得分:2)
您可以使用SAML2,OpenID或Passive STS支持为Active Directory中的用户群启用SSO。由于不同的应用程序能够支持不同的协议,因此具有多种协议支持非常重要。例如,Google Apps,Salesforce支持SAML2,而LifeRay,Drupal支持OpenID ..
免责声明:我是WSO2的建筑师
开源WSO2 Identity Server可以部署在活动目录[只是一个配置]上,它会自动为AD中的所有用户提供OpenID。
此外,Identity Server可用作SAML2 IdP,OpenID提供程序或PassiveSTS IdP。
特别是在为SharePoint用户提供SSO时 - 您可能需要使用PassiveSTS。
您可以从here ..
查看WSO2 Identity Server的云部署如果您的关注来自服务提供商端,那么获得SAML2以及OpenID支持是理想的...
答案 2 :(得分:1)
如果您希望快速直接地进行地址,则Active-Directory LDAP是最短路径。
但对我来说,LDAP和SAML涵盖的范围不同。
一方面,LDAP是一种开放式协议,允许您直接访问身份验证服务器。您可以独立于LDAP目录。
另一方面,我认为如果您的服务的用户能够在他们的公司中进行身份验证,SAML允许您与这些公司建立信任关系并避免管理用户/密码。对于部署Active-Directory的客户端,请查看Active Directory Federation Services。