Ich untersuche derzeit das Verschieben eines Asset-Tracking-Systems von LDAP zu SAML. Es gibt zwei Hauptbereiche, in denen unsere Software derzeit LDAP verwendet. Der erste ist die Authentifizierung. Um heute auf das System zugreifen zu können, müssen Sie sich erfolgreich mit LDAP authentifizieren und Mitglied einer bestimmten LDAP-Gruppe sein. Dieser Teil ist relativ einfach zu SAML zu verschieben. Wir haben eine Bibliothek verwendet, um den größten Teil der schmutzigen Arbeit zu erledigen. Und auf dem IDP können wir einen Anspruch hinzufügen, um den Benutzer zu autorisieren. Aber unsere zweite Verwendung von LDAP wirft mich auf eine Schleife.LDAP vs SAML Authorization
Heute kann jedes Asset, das wir verwalten, mit einem Benutzernamen verknüpft werden. Zum Beispiel kann ein bestimmter Drucker zu 'someuser' gehören. Eine der Optionen, die unsere Software dem Administrator bietet, ist das Anzeigen/Interagieren mit Assets basierend auf LDAP-Benutzergruppen. Als Administrator möchte ich möglicherweise alle Drucker aktualisieren, die Personen in einer bestimmten Abteilung gehören. Um dies zu erreichen, würde der Administrator eine Regel für die LDAP-Gruppe "departmentInQuestion" erstellen. Unsere Software würde dann ein Dienstkonto verwenden, um sich mit LDAP zu verbinden, eine Abfrage erstellen, um zu sehen, welche Benutzer von unserem System in 'departmentInQuestion' sind, diese ausführen und die Ergebnisse verwenden, um festzustellen, welche Elemente das Update erhalten sollen.
So weit von meiner Suche habe ich keinen SAML-Workflow analog zu diesem gefunden. Es scheint die einzige Möglichkeit zu sein, die wir als "someuser" bewerten müssen, wenn sie sich authentifizieren und wir Zugang zu ihren Ansprüchen erhalten. In unserem Workflow kann sich 'someuser' jedoch niemals mit uns authentifizieren. Es ist fast so, als würden wir einen Benutzer im Namen des Dienstkontos autorisieren. Gibt es einen bestehenden Workflow, den ich während meiner Erkundung übersehen habe? Gibt es andere Technologien, die die Autorisierung auf diese Weise unterstützen?
Danke für jede Eingabe!
SAML ermöglicht auch eine Abstraktionsschicht, so dass der Back-End-Datenspeicher, ohne Bewirken des Autorisierungsprozesses verändert werden könnte. (dh Wechsel von einer LDAP-Quelle zu einer anderen oder zur Verwendung einer Datenbank) -jim – jwilleke