Un IdP / STS pour les fournisseurs de SaaS, où le client SaaS propre fait sa gestion des utilisateurs?
https://stackoverflow.com/questions/2988127
-
24-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
(Cette question ne concerne pas la programmation, mais sur la façon de éviter faire toute la programmation. En outre, beaucoup de terminologie dans ici-- Je suppose que quelqu'un avec une réponse le savent déjà ce qu'ils veulent dire .)
Contexte: Je travaille sur l'authentification unique dans un environnement « identité fédérée ». Nous avons plusieurs produits qui sont au courant fédération (en utilisant, par exemple, le protocole WS-Federation ou SAML, mis en œuvre avec, par exemple, WIF sur .NET et Fedlet Java), et ils sont offerts aux clients qui utilisent un modèle SaaS. Beaucoup de ces clients ne disposent pas de leur propre boutique de noms d'utilisateur / mot de passe, ils ne fonctionnent pas un « fournisseur d'identité » eux-mêmes.
Question: Y at-il un produit là-bas que
-
peut être installé chez le fournisseur SaaS;
-
joue le rôle d'un PCI / STS (à savoir, fournisseur d'identité dans un environnement fédéré) pour les applications SaaS fourni;
-
a son propre magasin nom d'utilisateur / mot de passe, séparément pour chaque client SaaS ( "locataire");
-
permet au client SaaS de faire sa propre gestion des utilisateurs, sans nécessiter l'aide du fournisseur SaaS.
(Nous pourrions construire nous-mêmes, par exemple, comme un STS personnalisé sur le dessus de WIF avec des écrans d'administration de l'utilisateur, mais nous essayons d'éviter cela. Ce n'est pas vraiment notre cœur de métier.)
La solution 2
Nous n'avons pas trouvé un produit qui répond à toutes ces exigences.
Ce que nous avons décidé était d'utiliser AD FS 2.0 comme IdP / STS SaaS, les noms d'utilisateur de stocker / mots de passe dans AD (faisant partie du nom du client SaaS du nom d'utilisateur), et personnaliser la page de connexion AD FS liée à une application Web personnalisée pour la gestion des utilisateurs et de libre-service utilisateur.
Autres conseils
Avez-vous eu un coup d'œil à Google App Engine
Ils prennent en charge SAML, de sorte que vous pouvez les utiliser comme Idp.
