Как поставщик услуг; SCIM - хорошая замена ADFS с использованием SAML

Мы хотим предоставить организациям возможность интегрировать свою внутреннюю Active Directory (AD) с нашим внешним облачным продуктом.

У нашего клиента есть сервер федерации, использующий ADFS, мы понимаем, что для работы с более чем одним клиентом на этом уровне нам нужна собственная служба ADFS. Означает ли это, что мы можем использовать SCIM в качестве замены?


active-directory saml-2.0 adfs scim opensaml
person steve0nz    schedule 30.07.2013    source источник
comment
Когда вы говорите SCIM, вы имеете в виду Simple Cloud Identity Management? Это протокол, а не СТС.   -  person rbrayb    schedule 31.07.2013

Ответы (2)


arrow_upward
3
arrow_downward

Вам не нужен сервер ADFS на вашей стороне. Хотя вы можете его использовать, у него есть несколько недостатков: относительно сложное развертывание, сложная автоматизация, ограниченная поддержка протоколов и т. Д. Вы, вероятно, потратите немало времени, чтобы настроить его так, чтобы он делал то, что вам нужно. Конечно, это мой собственный опыт.

Концептуально вы правы. Вам нужен посредник (обычно называемый «поставщиком федерации», который выполняет транзакции аутентификации между вашим приложением и любой системой, которая знает о пользователях, таких как ADFS вашего клиента).

Возможно, вы захотите проверить альтернативу, более легкую, готовую к работе с облаками и более простую в расширении. К счастью, у вас есть много вариантов:

1. Вы можете использовать IdentityServer, продукт с открытым исходным кодом, который можно развернуть рядом со своей службой. . Это продукт с открытым исходным кодом, который вы можете расширять и настраивать по своему усмотрению; и дает массу гибкости. Поскольку это OSS, вы можете «владеть» стеком и делать все, что захотите.

2. Вы можете использовать Azure AD, который является размещенным поставщиком федерации Microsoft. Он будет работать с ADFS и другими распространенными поставщиками; но имеет некоторые ограничения. (Например: он не позволит вам легко вести свою собственную базу данных пользователей, он не будет нормализовать профили пользователей, среди некоторых общих вещей, которые могут вам понадобиться).

3- Вы можете использовать Auth0, который оптимизирован для таких сценариев, как ваш. (Полное раскрытие: это продукт, над которым я работаю).

В любом случае, вы можете узнать больше об архитектуре подобных сценариев здесь.

person Eugenio Pace    schedule 31.07.2013
comment
Спасибо за информацию @eugeno_pace, нам все еще нужен SAML или OAUTH на нашей стороне? - person steve0nz; 31.07.2013
comment
... Это было мое понимание; чтобы мы могли позволить нескольким IDP отправлять своих пользователей к нам, нам понадобится какая-то форма службы SCRIM или ADFS. Как еще мы аутентифицируем / предоставляем пользователей? - person steve0nz; 31.07.2013
comment
Да, ваше приложение должно принимать токены безопасности (при использовании SAML или WS-Fed) или реализовывать OAuth. Да, вашим клиентам необходимо предоставить токен (или участвовать в переговорах OAuth). Наличие посредника, как я предлагаю, изолирует ваше приложение от любых деталей реализации, которые есть у каждого из ваших клиентов, а также будет заниматься адаптацией и подготовкой. Мы (Auth0) также решили автоматизировать процесс адаптации, потому что это частый источник разочарований. - person Eugenio Pace; 01.08.2013
comment
Стив - я не уверен, что получил твое письмо (eugeniop на auth0.com) - person Eugenio Pace; 01.08.2013
comment
Я отправил сообщение с вашей онлайн-формой - person steve0nz; 04.08.2013

arrow_upward
0
arrow_downward

Выберите SimpleSAMLphp - мы примем предоставление через процесс API Claims. У нас уже есть групповые политики, которые упрощают задачу.

person steve0nz    schedule 06.08.2013
comment
Вы имеете в виду, что вы выполняете синхронизацию пользователей с помощью утверждений SAML? - person Silver; 04.01.2017