مطالبات مخصصة مع إطار جنيف وكيفية "مزامنة" المستخدمين Whitin تطبيقك

Question

ربما يسلط هذا السؤال الضوء على حجم ما أعرفه عن إدارة هوية المطالبات، ولكن هنا يذهب.

إذا كنت تستخدم WIF داخل تطبيق يستخدم STS طرف ثالث للهوية ويستخدم مطالبات مخصصة للترخيص (شيء وثيق الصلة ومحدد التطبيق مثل CancreateFoobar)

1) كيف يمكنني إدارة المستخدمين؟ أي أنه يمكن تحديد المستخدمين من موفر الإعلان أو غيره من المستخدمين، ولكن داخليا في نظامي، أحتاج إلى معرفة عنها ولديهم المزيد من معلومات المستخدم التي لا علاقة لها بالهوية (لذلك فإن Woulndt من المنطقي حقا أن تكون هذه المعلومات المتاحة خارج النظام)، وينبغي أن تستمر هذه المعلومات حول المستخدم،
السؤال هو كيف يمكنني إدارة وإنشاء بيانات النظام الخاصة بي (بدءا من المعرفات) بطريقة ذكية؟
السيناريو الدقيق لدي في ذهني هو موظف جديد يضاف إلى الشركة، يقوم المشرف SYS بإنشاء المستخدم للمجال مع دور معين، كيف يمكن نظامي أن يدرك هذه الحقيقة؟ (ربما أحب النظام مطالبة مسؤول النظام لإجراء

2) أين هي قيم المطالبة لهؤلاء المستخدمين والأدوار المخزنة وكيف يمكنني تعديلها؟ من الناحية المثالية أريد أن أكون قادرا على تغيير المخاطر لمستخدم وعمل معين. هل هناك أي إرشادات حول هذا؟

أستطيع أن أرى أن هذه هي الأسئلة العرجبة للغاية ولكن عندما أفكر في كيفية حل المشكلة التي أتيت إليها على حلول معقدة أو مع حلول تتطلب الكثير من duplicaiton (أي إنشاء المستخدمة في مكانين) لذلك أنا متأكد من أنني مؤكد أنا فقط لا أفكر في هذه المشكلة في الطريق الصحيح

شكرا

Answer 1

1) أنت لا تدير المستخدمين، وليس حقا. يمكنك ببساطة أن تأخذ iclailsidentity واستخدام ذلك كمصدر لترخيصك. في رأيي، يجب ألا تستمر في المطالبات إذا كنت تستطيع الابتعاد دون القيام بذلك - يجب أن تكون المطالبات مصدر معلومات المستخدم الخاصة بك.

إذا كنت ترغب في بناء المطالبات، فانتقل إلى مرجع فريد من هوية المطالبات، فقل عنوان البريد الإلكتروني أو PPID / توقيع مفتاح OU Hash واستخدام ذلك لإنشاء قاعدة البيانات الخاصة بك، وإضافة معلوماتك الخاصة.

ومع ذلك، لن يصبح نظامك أبدا من التغييرات في قاعدة تعريف هوية الطرف الثالث - وليس حتى يتم إصدار رمزية SAML جديدة وتحليلها في طلبك.

2) يتم تخزين قيم المطالبات في أي مكان، إلا إذا قمت بتخزينها. كيف ترجم ذلك إلى أذونات متروك لك - ولكن عموما تقوم بإجراء تحويل المطالبات لاتخاذ المطالبات الخارجية وتعيينها للمطالبات الداخلية لتطبيقك الذي تستخدمه للأذونات. لأن المطالبات تأتي من مزودي خارجيين لا يمكنك تغييرها - ليس لديك أي اتصال بهؤلاء المزودي.

Answer 2

كما تراه، فإن الاتحاد لا يخفف بالضرورة الحاجة إلى التزامن. هذه هي نظرة ثاقبة مهمة غير واضحة على الفور.

هناك طرق متعددة لمعالجة ذلك بما في ذلك:

1. استخدام منتج ميتا أو دليل الظاهري أو
2. باستخدام "توفير JIT" (AKA "التوفير الديناميكي" أو "التوفير على ذبابة").

اسمحوا لي أن أشرح الأخير. هذا الحل، التي وصفت أيضا على مدونتي, ، يتضمن اثنين من STSS، IP-STS و RP-STS. أول مصادقة للمستخدم فقط؛ والثاني محددا لتطبيقك وتعرف ما هي المطالبات اللازمة لتخويل مستخدمي هذا النظام. لا يمكن ل IP-STS إصدار سمات التطبيق الخاصة بهذه التطبيقات، حيث ستحتاج إلى تشوش خدمة دليل الشركات الخاصة بك مع جميع أنواع المعلومات الخاصة بالتطبيق. بدلا من ذلك، فإن السمات للمستخدمين الذين يتم الحفاظ عليها في هذا المتجر وصادرتهم IP-STS عامة في الطبيعة وتطبيقها على المستخدم بغض النظر عن التطبيق الذي يستخدمونه. بعد المصادقة على IP-Sts والحصول على مطالبات الهوية فقط، يتم تمرير الرمز المميز إلى RP-STS. يتم توصيل هذه الخدمة الرمزية بإحكام إلى طلبك. إنه يعرف ما يحتاج المستخدمون إلى الوصول إلى موارد مختلفة. يمكنه تحويل مطالبات الهوية فقط إلى تلك اللازمة لاتخاذ قرار مراقبة الوصول هذا. لذلك، فإن RP-STS هو محول مطالبات يدري الادعاءات المتعلقة بالهوية في التطبيقات الخاصة بالود.

كيف يحدد RP-STS المستخدم؟ لنفترض أن موظف جديد يتم إنشاؤه، كما هو الحال في مثالك أعلاه. عندما يصل المستخدم إلى التطبيق الخاص بك، سيتم ارتداده إلى STS RP. لن يتم تسجيل الدخول هناك، لذلك سيتم ارتداده إلى IP-STS. قام مشرف SYS بإنشاء حساب له، لذلك سيكون قادرا على تسجيل الدخول، وسوف يرتده متصفافه إلى RP-STS. سيقع RP-STS الرمز المميز واحصل على معرف المستخدم (البريد الإلكتروني أو PPID وما إلى ذلك)، ونرى أنه لا يعرف من هو المستخدم. لذلك، سيقوم RP-Sts بتوفير المستخدم. ستقوم بذلك عن طريق عرض صفحة ويب، على سبيل المثال. قد تجمع المعلومات التي تساعد في تحديد دور هذا المستخدم عند الوصول إلى RP. بعد ذلك، سيتم توفير المستخدم (أي سيتم إنشاء سجل في قاعدة بياناته تحتوي على قيم المطالبة له)، وسيقوم RP-STS بإصدار رمز رمزي حسب الطلب وإعادة توجيهه مرة أخرى هناك. لن يعرف التطبيق أنه تم توفيره للتو؛ سوف تستخدم فقط المطالبات كما يفعل دائما. (انظر لماذا اتصلت به jit forming؟)

ماذا لو تغيرت الأمور بعد تقديم المستخدم؟ نعم. تخيل ذلك: تم إنشاء المستخدم في متجر الدليل منذ العصور وقد تم توفيره كما هو موضح أعلاه في RP-STS وكان يستخدم النظام بسعادة لفترة طويلة. ثم هناك تغيير سياسة يتطلب من مستخدمي طلبك قبول الشروط والأحكام الجديدة (T & CS). في المرة القادمة، يقوم المستخدم بتسجيل الدخول إلى التطبيق، وسيتم إعادة توجيهه إلى RP-STS، إلى IP-STS، سيقوم بمصادقة، ويتم تراجعه إلى RP-Sts الخاص بك. في هذه المرحلة، ستلاحظ أن المستخدم يجب أن يقبل T & CS الجديد، لذلك سيظهر للمستخدم صفحة ويب واحصل على اتفاقيةهم. بعد ذلك، سيصدر RP-STS رمزا أمان وإعادة توجيهه إلى تطبيقك. سوف يقوم التطبيق الخاص بك، كما هو الحال دائما، مع التعامل مع المطالبات ويفعل ما يجب القيام به للقيام به للوصول إلى الوصول إليه. لن يعرف ذلك ولن يهتم بأن المستخدم "أعيد تقديمه". بدلا من ذلك، يمكنك الاحتفاظ بالتغييرات في المزامنة بين مخزن الهوية (أي دليل الشركة) ومخزن مطالبة RP-STS باستخدام منتج مثل ILM (أو FIM كما هو مطلق عليه الآن). اعتمادا على نظامك، قد يكون المنتج الذي يقوم بمزامنة القناة الرجوعية بهذا الشكل أكثر ملاءمة.

راجع للشغل، هذه ليست أسئلة "عرجاء"! هناك أسئلة حريصة للغاية تعكس التفكير العميق والتفكير الذكي في مشكلة معقدة للغاية. البعض الآخر الذي ستحتاج إلى الإجابة عليه

• كيف يقوم مسؤولو تطبيقك بتحديث سياستك (على سبيل المثال، تغيير T & CS)؟ ما ui / api يجب أن تنشئ؟ هو UI متكامل مع واحد المستخدم لإدارة سياسة IP-STS؟
• أي نوع من علاقات الثقة يجب أن تكون موجودة لجعل مثل هذا النظام؟
• ماذا لو كان الموضوع لا يستخدم الملف الشخصي السلبي؟ ماذا لو كان يستخدم الملف الشخصي النشط و / أو لا يوجد واجهة مستخدم؟
• كيف وأين تقع المفاتيح؟ ما هي الأذونات اللازمة لاستخدام هذه المفاتيح؟ كيف يتم تنشيطها وتوزيعها وكيف يتم تنبيه مدراء SYS عندما ينتهي الأمر؟

هذه الأشياء سهلة للغاية في التوضيح في اجتماعات مجموعة المستخدمين وفي المؤتمرات، ولكن في الواقع أنها أشياء متقدمة للغاية. إذا كان لديك أسئلة أخرى، فلا تتردد في نشرها هنا أو الحصول على اتصال W / ME مباشرة.