LDAP-vs SAML Authorization
Ich bin derzeit bewegen eines asset-tracking-system von LDAP und SAML. Es gibt zwei Bereiche, in denen unsere software derzeit verwendet LDAP. Die erste ist die Authentifizierung. Um auf das system zuzugreifen, heute werden Sie brauchen, um erfolgreich zu authentifizieren, LDAP und werden ein Mitglied einer bestimmten LDAP-Gruppe. Das Teil ist relativ einfach zu bewegen, um SAML. Wir habe verwendet eine Bibliothek zu Bearbeiten die meisten der schmutzigen Arbeit. Und auf die IDP-wir können hinzufügen, ein Anspruch auf Autorisierung der Benutzer. Aber unsere zweite die Verwendung von LDAP warf mich für eine Schleife.
Heute, jede Ressource, die wir pflegen, hat die Möglichkeit, mit einem Benutzernamen. Zum Beispiel, einen bestimmten Drucker gehören können, to 'someuser'. Eine der Möglichkeiten, die unsere software gibt dem administrator ist zu sehen/interagieren mit den Vermögenswerten, basierend auf LDAP-Benutzer-Gruppen. So wie ein administrator, kann ich aktualisieren möchten, müssen Sie alle Drucker, die im Besitz von Personen in einer bestimmten Abteilung. Um dies zu erreichen, würde der administrator eine Regel erstellen, eingeschränkt auf die LDAP-Gruppe "departmentInQuestion'. Unsere software würde dann verwenden Sie ein Dienstkonto zum herstellen der Verbindung zum LDAP-Abfrage erstellen, um zu sehen, welche Benutzer aus unserem system in 'departmentInQuestion', ausführen und verwenden Sie die Ergebnisse, um zu bestimmen, welche Vermögenswerte erhalten, sollten die update.
So weit von meiner Suche habe ich nicht finden können, ein SAML-workflow Analog dazu. Es scheint die einzige Möglichkeit, die wir haben, zu beurteilen, 'someuser' ist, wenn Sie sich authentifizieren, und wir bekommen Zugang zu Ihren Forderungen. Aber in unserem workflow 'someuser' kann nie authentifizieren Sie sich mit uns. Es ist fast so, als wenn wir über die Autorisierung eines Benutzers auf Namen des Dienstkontos. Gibt es einen bestehenden workflow, die ich übersehen habe während meiner Erkundung? Gibt es andere Technologien, die Unterstützung Berechtigung in dieser Art und Weise?
Vielen Dank für jede Eingabe!
Du musst angemeldet sein, um einen Kommentar abzugeben.
SAML ist wie ein Reisepass oder ein Visum. Es hat (Vertrauenswürdige) Informationen über Sie, die verwendet werden können, um wissen über Sie (z.B. name, Geburtsdatum) und folgern, was Sie zugreifen können (z.B. Eingang zu einem Land). Sie können Eigenschaften in der token Abfragen von anderen Systemen über zusätzliche Informationen, die Sie möglicherweise im Zusammenhang mit einer (z.B. Kontoauszug).
So, Analog, SAML ist in der Regel verwendet, um Benutzer zu authentifizieren, um ein system (wenn man einmal das Vertrauen ist es Ursprung), gibt es aber keine Bestimmungen für die Verwaltung von Benutzer-Profilen, oder "Ressourcen".
Genehmigung Entscheidungen, wenn überhaupt, oft auf der Grundlage der Attribute, die dem Benutzer zugeordnet sind (z.B. die Gruppe, der er angehört) und vermittelt in Forderungen, die in der security-token.
Vielleicht die 1. Fragen, die zu beantworten ist, warum wollen Sie Weg von LDAP und denken über SAML. Ist es, weil Sie wollen, akzeptieren die Benutzer sich mit Ihren eigenen Zugangsdaten? Ist es, weil Sie wollen, um loszuwerden, der LDAP-server insgesamt
Könnten Sie sehr gut, halten Sie Ihren LDAP-server für die Verwaltung
resources associated with users
, und Benutzer authentifizieren woanders. Dies ist, was Sie jetzt haben. Würden Sie korrelieren Benutzer "außen" und "innen" über ein gemeinsames Attribut (z.B. einen Benutzernamen oder einige ID).Wenn Sie möchten, um loszuwerden, LDAP, alle zusammen, dann müssten Sie woanders zu speichern, dass Informationen (z.B. app-Datenbank).
Gebäude auf Eugenio Pace's Antwort, und in allem folgenden Absatz:
Was Eugenio bezieht sich hier ABAC - attribute-based access control. SAML macht das nicht. Zu erreichen, ABAC, müssen Sie XACML. Beide SAML und XACML werden standards definiert von OASIS und zusammenarbeiten. Mit XACML können Sie festlegen, Attribut-basierte Regeln. Zum Beispiel könnten wir überdenken, Ihr Beispiel und schreiben Sie eine Regel wie folgt:
Lesen Sie mehr auf XACML auf ABAC auf diese Referenz-sites: