LDAP 适合外部用户吗?
Is LDAP suitable for external users?
LDAP 通常用于配置企业用户。它充当集中式用户存储。易于与带有 SCIM 的 SaaS 集成 API。
但是,如果我们想要实现单一数据存储以进行身份验证,以便在多个网站但由同一组织提供的单一登录和轻松用户配置,那么对外部用户使用 LDAP 是个好主意。
所有关于 LDAP 和 SCIM 的描述都建议将 SaaS 集成到内部用户数据库或多个 Intranet 应用程序的用例。
如果不是,基于标准的方法是什么?会有哪些挑战?
LDAP 是为任何类型的用户或设备存储身份信息的理想选择。比大多数关系数据库和现代 LDAP 服务器实现更快,可以扩展到非常大的容量。
对于单点登录目的,LDAP 没有提供任何帮助。 SAML 或 OpenID Connect 将是 SSO 的 "Current Best Practices"。
SCIM 2.0 非常适合作为身份信息存储对 LDAP 执行 CRUD 操作。
来自通用请求的挑战,超出了 Whosebug 的范围。
OpenID Connect 的一大优点是它抽象了身份验证,然后 SCIM 还抽象了 CRUD 操作,因此后端无关紧要。
提出具体问题将获得最佳结果。
作为一名顾问,我看到越来越多的大型企业开始使用称为客户身份和访问管理 (CIAM) 的行业流行语来启动计划。这些大型组织的要素之一是外部用户(或身份,如果您愿意)的管理。这些组织使用基于 LDAP 的用户目录来存储身份信息。这些架构确实分别利用 SCIM、SAML 和 OIDC 标准进行用户配置和联合。在我们的咨询中,我们看到许多用于此目的的不同 LDAP 服务器,包括 Active Directory、AD-LDS、OpenLDAP、CA-LDAP、PingDirectory 等。选择 LDAP 的关键是规模和性能参数,因此在进行选择时对于技术,一定要询问存储库大小和压缩、索引速度和技术实现、底层数据管理和数据同步。
至于上面的无耻插件,我熟悉 PingDirectory(以前称为 UnboundID),这是一款非常适合扩展和性能的产品,因为它内置的功能可以很好地扩展。事实上,它起源于电信行业,在该行业中有数千万客户用户的实施。作为确定哪种技术最适合您的用例的分析的一部分,我会看一下该产品。
LDAP 通常用于配置企业用户。它充当集中式用户存储。易于与带有 SCIM 的 SaaS 集成 API。
但是,如果我们想要实现单一数据存储以进行身份验证,以便在多个网站但由同一组织提供的单一登录和轻松用户配置,那么对外部用户使用 LDAP 是个好主意。
所有关于 LDAP 和 SCIM 的描述都建议将 SaaS 集成到内部用户数据库或多个 Intranet 应用程序的用例。
如果不是,基于标准的方法是什么?会有哪些挑战?
LDAP 是为任何类型的用户或设备存储身份信息的理想选择。比大多数关系数据库和现代 LDAP 服务器实现更快,可以扩展到非常大的容量。
对于单点登录目的,LDAP 没有提供任何帮助。 SAML 或 OpenID Connect 将是 SSO 的 "Current Best Practices"。
SCIM 2.0 非常适合作为身份信息存储对 LDAP 执行 CRUD 操作。
来自通用请求的挑战,超出了 Whosebug 的范围。
OpenID Connect 的一大优点是它抽象了身份验证,然后 SCIM 还抽象了 CRUD 操作,因此后端无关紧要。
提出具体问题将获得最佳结果。
作为一名顾问,我看到越来越多的大型企业开始使用称为客户身份和访问管理 (CIAM) 的行业流行语来启动计划。这些大型组织的要素之一是外部用户(或身份,如果您愿意)的管理。这些组织使用基于 LDAP 的用户目录来存储身份信息。这些架构确实分别利用 SCIM、SAML 和 OIDC 标准进行用户配置和联合。在我们的咨询中,我们看到许多用于此目的的不同 LDAP 服务器,包括 Active Directory、AD-LDS、OpenLDAP、CA-LDAP、PingDirectory 等。选择 LDAP 的关键是规模和性能参数,因此在进行选择时对于技术,一定要询问存储库大小和压缩、索引速度和技术实现、底层数据管理和数据同步。
至于上面的无耻插件,我熟悉 PingDirectory(以前称为 UnboundID),这是一款非常适合扩展和性能的产品,因为它内置的功能可以很好地扩展。事实上,它起源于电信行业,在该行业中有数千万客户用户的实施。作为确定哪种技术最适合您的用例的分析的一部分,我会看一下该产品。