LDAP-vs SAML Authorization

Ich bin derzeit bewegen eines asset-tracking-system von LDAP und SAML. Es gibt zwei Bereiche, in denen unsere software derzeit verwendet LDAP. Die erste ist die Authentifizierung. Um auf das system zuzugreifen, heute werden Sie brauchen, um erfolgreich zu authentifizieren, LDAP und werden ein Mitglied einer bestimmten LDAP-Gruppe. Das Teil ist relativ einfach zu bewegen, um SAML. Wir habe verwendet eine Bibliothek zu Bearbeiten die meisten der schmutzigen Arbeit. Und auf die IDP-wir können hinzufügen, ein Anspruch auf Autorisierung der Benutzer. Aber unsere zweite die Verwendung von LDAP warf mich für eine Schleife.

Heute, jede Ressource, die wir pflegen, hat die Möglichkeit, mit einem Benutzernamen. Zum Beispiel, einen bestimmten Drucker gehören können, to 'someuser'. Eine der Möglichkeiten, die unsere software gibt dem administrator ist zu sehen/interagieren mit den Vermögenswerten, basierend auf LDAP-Benutzer-Gruppen. So wie ein administrator, kann ich aktualisieren möchten, müssen Sie alle Drucker, die im Besitz von Personen in einer bestimmten Abteilung. Um dies zu erreichen, würde der administrator eine Regel erstellen, eingeschränkt auf die LDAP-Gruppe "departmentInQuestion'. Unsere software würde dann verwenden Sie ein Dienstkonto zum herstellen der Verbindung zum LDAP-Abfrage erstellen, um zu sehen, welche Benutzer aus unserem system in 'departmentInQuestion', ausführen und verwenden Sie die Ergebnisse, um zu bestimmen, welche Vermögenswerte erhalten, sollten die update.

So weit von meiner Suche habe ich nicht finden können, ein SAML-workflow Analog dazu. Es scheint die einzige Möglichkeit, die wir haben, zu beurteilen, 'someuser' ist, wenn Sie sich authentifizieren, und wir bekommen Zugang zu Ihren Forderungen. Aber in unserem workflow 'someuser' kann nie authentifizieren Sie sich mit uns. Es ist fast so, als wenn wir über die Autorisierung eines Benutzers auf Namen des Dienstkontos. Gibt es einen bestehenden workflow, die ich übersehen habe während meiner Erkundung? Gibt es andere Technologien, die Unterstützung Berechtigung in dieser Art und Weise?

Vielen Dank für jede Eingabe!

InformationsquelleAutor Staros | 2014-04-06
Schreibe einen Kommentar