在获得有关允许SaaS产品根据租户的内部Active Directory(或其他LDAP)服务器对用户进行身份验证的最佳方法的一些理论帮助之后 .
托管应用程序,但要求租户可以将身份验证委派给其现有的用户管理提供程序(如AD或OpenLDAP等).Microsoft Online的托管交换机等工具支持企业AD同步 .
假设客户端不想将端口389转发到其域控制器,那么最佳方法是什么?
在做了一些研究并与一些管理这个的系统管理员交谈后,我们已经确定了两个选项,这应该满足大多数人 . 我会在这里为那些对结果感兴趣的人描述它们 .
Authentication Service installed in the origanisation's DMZ
如果用户希望利用本地活动目录服务器进行身份验证,则需要在其DMZ中安装代理并向其中打开端口443 . 我们的服务将配置为使用此服务执行身份验证 .
此服务将位于DMZ中,并从SaaS应用程序接收身份验证请求 . 该服务将尝试使用这些凭据绑定到活动目录,并返回状态以指示成功或失败 .
在这种情况下,应用程序的基于表单的身份验证不会更改,并且用户将不会知道幕后的身份验证 .
OpenId
与第一种方法类似,服务将安装在客户端的DMZ中,端口443将被打开 . 这将是一个OpenId提供商 .
SaaS应用程序将成为OpenId消费者(已经用于Facebook,Twitter,Google等登录) .
当用户希望登录时,将显示OpenId提供商,要求他们输入用户名和密码 . 此登录屏幕将从客户端的DMZ提供 . 用户永远不会在SaaS应用程序中输入用户名或密码 .
在这种情况下,现有的基于表单的身份验证将替换为客户端DNZ中的服务的OpenId身份验证 .
我们正在调查的第三个选项是Active Directory联合服务,但这是Active Directory专有的 . 另外两个解决方案支持互联网上任何基于LDAP的身份验证 .
也许这可能有帮助......
该供应商Stormpath提供的服务包括:用户身份验证,用户帐户管理,以及与客户的内部部署目录的连接 .
如何与客户的用户目录 Build LDAPS连接?他们可以对此进行防火墙处理,以便只有您的服务器关注它是否公开才能访问它们 . 由于它是SSL,因此端到端安全 . 您需要的只是来自其颁发CA的证书(如果它不是公开的证书) . 我努力让这个工作在DMZ的内部网络项目,并且在网上真的缺乏任何指南 . 所以当我使用它时,我写了一个:
http://pcloadletter.co.uk/2011/06/27/active-directory-authentication-using-ldaps/
您最好的选择是为您的SaaS应用程序实施SAML身份验证,然后使用Okta或OneLogin等身份提供商进行注册 . 完成后,您还可以将其与ADFS连接,以通过Active Directory为您的Web应用程序提供单点登录 .
我发现,一旦实施完成,将会有更多更新 . 希望这能为您提供足够的关键字来进行其他谷歌搜索
我的理解是有三种可能的解决方案:
在域控制器上安装内容以捕获所有用户更改(添加,删除,密码更改)并将更新发送到远程服务器 . 遗憾的是,网站无法知道最初的用户密码 - 只有在更改后才能使用新密码 .
为Web服务器提供访问权限,以通过LDAP / WIF / ADFS连接到域控制器 . 这可能意味着打开公司防火墙中的传入端口以允许特定的IP .
否则,绕过用户名/密码并改为使用email-based authentication . 用户只需每3-6个月通过电子邮件对每台设备进行一次身份验证 .
我必须开始为即将到来的项目实现这一点,并且我非常倾向于选项#3以简化 .
5 回答
在做了一些研究并与一些管理这个的系统管理员交谈后,我们已经确定了两个选项,这应该满足大多数人 . 我会在这里为那些对结果感兴趣的人描述它们 .
Authentication Service installed in the origanisation's DMZ
如果用户希望利用本地活动目录服务器进行身份验证,则需要在其DMZ中安装代理并向其中打开端口443 . 我们的服务将配置为使用此服务执行身份验证 .
此服务将位于DMZ中,并从SaaS应用程序接收身份验证请求 . 该服务将尝试使用这些凭据绑定到活动目录,并返回状态以指示成功或失败 .
在这种情况下,应用程序的基于表单的身份验证不会更改,并且用户将不会知道幕后的身份验证 .
OpenId
与第一种方法类似,服务将安装在客户端的DMZ中,端口443将被打开 . 这将是一个OpenId提供商 .
SaaS应用程序将成为OpenId消费者(已经用于Facebook,Twitter,Google等登录) .
当用户希望登录时,将显示OpenId提供商,要求他们输入用户名和密码 . 此登录屏幕将从客户端的DMZ提供 . 用户永远不会在SaaS应用程序中输入用户名或密码 .
在这种情况下,现有的基于表单的身份验证将替换为客户端DNZ中的服务的OpenId身份验证 .
我们正在调查的第三个选项是Active Directory联合服务,但这是Active Directory专有的 . 另外两个解决方案支持互联网上任何基于LDAP的身份验证 .
也许这可能有帮助......
该供应商Stormpath提供的服务包括:用户身份验证,用户帐户管理,以及与客户的内部部署目录的连接 .
如何与客户的用户目录 Build LDAPS连接?他们可以对此进行防火墙处理,以便只有您的服务器关注它是否公开才能访问它们 . 由于它是SSL,因此端到端安全 . 您需要的只是来自其颁发CA的证书(如果它不是公开的证书) . 我努力让这个工作在DMZ的内部网络项目,并且在网上真的缺乏任何指南 . 所以当我使用它时,我写了一个:
http://pcloadletter.co.uk/2011/06/27/active-directory-authentication-using-ldaps/
您最好的选择是为您的SaaS应用程序实施SAML身份验证,然后使用Okta或OneLogin等身份提供商进行注册 . 完成后,您还可以将其与ADFS连接,以通过Active Directory为您的Web应用程序提供单点登录 .
我发现,一旦实施完成,将会有更多更新 . 希望这能为您提供足够的关键字来进行其他谷歌搜索
我的理解是有三种可能的解决方案:
在域控制器上安装内容以捕获所有用户更改(添加,删除,密码更改)并将更新发送到远程服务器 . 遗憾的是,网站无法知道最初的用户密码 - 只有在更改后才能使用新密码 .
为Web服务器提供访问权限,以通过LDAP / WIF / ADFS连接到域控制器 . 这可能意味着打开公司防火墙中的传入端口以允许特定的IP .
否则,绕过用户名/密码并改为使用email-based authentication . 用户只需每3-6个月通过电子邮件对每台设备进行一次身份验证 .
我必须开始为即将到来的项目实现这一点,并且我非常倾向于选项#3以简化 .