我有一个遗留的自定义“ID集线器”,它在内部关系数据库中保存身份验证和授权数据 - 没有LDAP,ActiveDirectory等 . “ID中心”公开了使用自定义“登录令牌”操作的自定义遗留API - 成功调用登录操作会返回一个重用的令牌,用于检索授权信息等 .
我正在重新设计“ID中心”,以便将其身份验证数据提取到适当的目录中,该目录提供LDAP接口 . 鉴于用户名将是匹配身份验证和授权条目的“关键”,我相信ID中心的接口可以保持不变,同时适应实现,包括 . 从ID集线器到身份验证目录的访问 . 由于我的应用程序依赖于ID集线器,因此ID集线器的旧接口尚不能退役 .
我的问题是:在第二步中,我还需要对ID集线器进行现代化,以便切换角色:应用程序将访问上述目录,该目录将不再仅仅是身份验证,但现在也会公开授权接口(例如,再次使用LDAP)并充当入口点,而不是“ID集线器” . 同时,授权数据保留在传统的“ID集线器”中是很重要的 .
我的问题是:如何以可靠的方式使该目录中的“ID集线器”可调用,即如何解决“ID集线器”需要来自“前端目录”的关于已经过身份验证的用户的可信信息的问题?即使这两个组件在公共可信环境中运行,我也不希望将用户名(= joint,primary key)作为唯一信息传递 .
目录和旧ID中心之间可以使用哪些接口?这可能使用SAML 2.0或LDAP吗?我还需要考虑目录通过Kerberos对用户进行身份验证的情况 .
任何意见,将不胜感激!
MIKU
1 回答
您询问目录和ID-hub之间可以使用哪些接口 . 这取决于两者的共同点 .
如果您将SAML IDP放在目录前,则可以使用SAML . 前提是您的ID-hub支持SAML课程 . 在这种情况下,SAML可以是一种方法 . 我是交换授权信息的行业标准 .