Tôi hiện đang điều tra việc di chuyển hệ thống theo dõi tài sản từ LDAP sang SAML. Có hai khu vực chính mà phần mềm của chúng tôi hiện đang sử dụng LDAP. Đầu tiên là xác thực. Để truy cập vào hệ thống ngày hôm nay, bạn cần xác thực thành công với LDAP và là thành viên của nhóm LDAP được chỉ định. Phần đó khá đơn giản để chuyển sang SAML. Chúng tôi đã sử dụng một thư viện để xử lý hầu hết các công việc bẩn thỉu. Và trên IDP, chúng tôi có thể thêm xác nhận quyền sở hữu để ủy quyền cho người dùng. Nhưng việc sử dụng LDAP thứ hai của chúng tôi là ném cho tôi một vòng lặp.LDAP và Ủy quyền SAML
Hôm nay, mỗi nội dung mà chúng tôi duy trì đều có khả năng được liên kết với tên người dùng. Ví dụ, một máy in cụ thể có thể thuộc về 'someuser'. Một trong các tùy chọn mà phần mềm của chúng tôi cung cấp cho quản trị viên là xem/tương tác với nội dung dựa trên nhóm người dùng LDAP. Vì vậy, với tư cách là quản trị viên, tôi có thể muốn cập nhật tất cả các máy in được sở hữu bởi những người trong một bộ phận cụ thể. Để thực hiện điều này, quản trị viên sẽ tạo một quy tắc được dàn xếp cho nhóm LDAP 'departmentInQuestion'. Sau đó, phần mềm của chúng tôi sẽ sử dụng tài khoản dịch vụ để kết nối với LDAP, tạo truy vấn để xem người dùng nào từ hệ thống của chúng tôi đang ở trong 'departmentInQuestion', thực thi và sử dụng kết quả để xác định nội dung nào sẽ nhận được bản cập nhật.
Cho đến khi tìm kiếm của tôi, tôi không thể tìm thấy luồng công việc SAML tương tự như vậy. Nó xuất hiện cơ hội duy nhất chúng ta phải lừa 'someuser' là khi họ xác thực và chúng tôi có quyền truy cập vào yêu sách của họ. Nhưng trong công việc của chúng tôi 'người dùng' có thể không bao giờ xác thực với chúng tôi. Nó gần như là chúng tôi đang sử dụng ủy quyền cho người dùng thay mặt cho tài khoản dịch vụ. Có một quy trình làm việc hiện tại mà tôi đã bỏ qua trong quá trình thăm dò của tôi không? Có bất kỳ công nghệ nào khác hỗ trợ ủy quyền theo cách này không?
Cảm ơn mọi đầu vào!
SAML cũng cho phép một lớp trừu tượng để lưu trữ dữ liệu back-end có thể thay đổi mà không ảnh hưởng quá trình cấp phép. (tức là thay đổi từ nguồn LDAP này sang nguồn khác hoặc sử dụng cơ sở dữ liệu) -jim – jwilleke