Obecnie badam ruchy systemu śledzenia aktywów z LDAP do SAML. Istnieją dwa główne obszary, w których nasze oprogramowanie wykorzystuje obecnie protokół LDAP. Pierwszym z nich jest uwierzytelnianie. Aby uzyskać dostęp do systemu, musisz pomyślnie uwierzytelnić się przy użyciu LDAP i być członkiem określonej grupy LDAP. Ta część jest dość prosta do przejścia na SAML. Wykorzystaliśmy bibliotekę do obsługi większości brudnych prac. I na IDP możemy dodać roszczenie do autoryzacji użytkownika. Ale nasze drugie użycie LDAP rzuca mnie na pętlę.Autoryzacja LDAP a SAML
Dziś każdy z naszych zasobów ma możliwość połączenia z nazwą użytkownika. Na przykład określona drukarka może należeć do "kogoś innego". Jedną z opcji, którą nasze oprogramowanie daje administratorowi, jest przeglądanie/interakcja z zasobami w oparciu o grupy użytkowników LDAP. Jako administrator mogę chcieć zaktualizować wszystkie drukarki, które są własnością osób z danego działu. Aby to osiągnąć, administrator utworzyłby regułę o zasięgu "wydzierżawienie" grupy LDAP. Nasze oprogramowanie używałoby konta usługi do łączenia się z LDAP, tworzenia zapytania, aby zobaczyć, którzy użytkownicy z naszego systemu są w "departmentInQuestion", wykonać to i wykorzystać wyniki, aby określić, które zasoby powinny uzyskać aktualizację.
Tak daleki od moich poszukiwań nie byłem w stanie znaleźć przepływu pracy SAML analogicznego do tego. Wydaje się, że jedyną okazją do oceny "kogoś innego" jest uwierzytelnianie, a my uzyskujemy dostęp do ich roszczeń. Ale w naszym obiegu pracy "ktoś inny" może nigdy nie uwierzytelniać się z nami. To prawie tak, jakbyśmy używali autoryzacji użytkownika w imieniu konta usługi. Czy istnieje istniejący przepływ pracy, który przeoczyłem podczas mojej eksploracji? Czy istnieją inne technologie, które wspierają autoryzację w ten sposób?
Dzięki za wszelkie dane wejściowe!
SAML pozwala także warstwę abstrakcji tak, że tylna magazyn danych koniec mógłby być zmieniane bez przeprowadzania procesu autoryzacji. (zmiana z jednego źródła LDAP na inny lub z użyciem bazy danych) -jim – jwilleke