Ngày nay, một dấu hiệu duy nhất với LDAP có được khuyến nghị để tích hợp một loạt các công cụ nguồn mở không?

8

Chúng tôi đang dẫn đầu một cuộc tập trận với một tổ chức công cộng để cài đặt các công cụ nguồn mở khác nhau để họ thử nghiệm và xem cái gì phù hợp với họ nhất.

Vì vậy, chúng tôi đang cài đặt:

  • một wiki (dokuwiki)
  • phương tiện truyền thông
  • gnu xã hội
  • etherpad
  • ethercalc

và có thể một số nữa.

Chúng tôi đã nghĩ đến việc sử dụng LDAP để hài hòa các thông tin đăng nhập.

Nhưng thường thì có vẻ như các plugin LDAP không được duy trì nữa và cấu hình khó hoạt động tốt, một số công cụ không đủ tài liệu LDAP.

Hôm nay vẫn là một ý tưởng tốt để làm điều này thông qua LDAP? OAuth có thể là một lựa chọn tốt hơn?

Tôi biết đây không phải là một câu hỏi về mã nhưng điều chúng tôi muốn hiểu là liệu chúng tôi có nên tuân theo quyết định của mình để đi LDAP hay nếu chúng tôi nên xem xét các con đường khác. Cảm ơn nhiều

ldap  authentication  single-sign-on 
transient_loop
nguồn

Câu trả lời:

13

LDAP không thể cung cấp Đăng nhập một lần. Có một sự khác biệt lớn giữa việc có thể sử dụng cùng một người dùng và có Đăng nhập một lần, điều đó có nghĩa là bạn đăng nhập vào tất cả các hệ thống cùng một lúc, với một hình thức đăng nhập duy nhất. Mặt khác, LDAP hoàn toàn khả thi khi sử dụng cùng một thông tin đăng nhập trong tất cả các hệ thống.

OAuth chỉ là một giao thức để thực hiện Đăng nhập và nó có thể sử dụng LDAP làm phụ trợ cho việc quản lý người dùng.

Florin Asăvoaie
nguồn
2
Thật ra tôi đã nhận thức được sự khác biệt này nhưng bạn đã diễn đạt nó một cách rất rõ ràng và súc tích, cảm ơn. Tôi sẽ google về OAuth / LDAP dưới dạng kiến ​​trúc đăng nhập một lần, nhưng nếu bạn có bất kỳ liên kết nào bạn muốn chia sẻ - rất cảm kích.
transient_loop
1

Trong thế giới đại học, hệ thống Ap Ap [trước đây là Jasig] là cách phổ biến để thực hiện Đăng nhập một lần cho các bộ ứng dụng web lớn. Với CAS, người dùng chỉ nhập mật khẩu của họ trên máy chủ xác thực - các ứng dụng riêng lẻ xác thực vé một lần thay vì nhìn thấy mật khẩu của người dùng. Đây là một chiến thắng bảo mật lớn khi xử lý các ứng dụng được phát triển bởi nhiều nhóm và nhà cung cấp nội bộ vì không có ứng dụng nào có quyền truy cập vào mật khẩu của người dùng.

Có rất nhiều thư viện CAS-client có sẵn cho hầu hết các môi trường lập trình và hỗ trợ CAS tích hợp đang trở nên phổ biến hơn cho các ứng dụng được sử dụng hoặc bán cho các trường đại học. Ngoài "Máy chủ Jasig CAS" chính, còn có một số máy chủ bổ sung khả dụng, bao gồm Máy chủ Ruby CASmô-đun cho Drupal có thể hoạt động như một máy chủ CAS để xác thực các ứng dụng bổ sung đối với cơ sở dữ liệu Drupal.

Bản thân Jasig CAS Server được viết bằng Java và có thể được hỗ trợ bởi bất kỳ số trình xử lý xác thực nào , bao gồm:

  • Cơ sở dữ liệu
  • CHÚA
  • LDAP
  • Di sản
  • OAuth 1.0 / 2.0, OpenID
  • RADIUS
  • SPNEGO (Windows)
  • Đáng tin cậy (REMOTE_USER)
  • X.509 (chứng chỉ SSL của khách hàng)

Máy chủ Jasig CAS có thể hoạt động như một nguồn xác thực cho ứng dụng thông qua một số giao thức khác nhau được sử dụng cho Đăng nhập một lần:

  • Giao thức CAS 1/2/3
  • Giao thức SAML 1.1 / 2.0
  • Giao thức OAuth
  • Giao thức OpenId

Nó thậm chí có thể được sử dụng làm xác thực đằng sau nhà cung cấp Shibboleth hoặc sử dụng máy khách Shibboleth làm mặt sau xác thực.

Lưu ý: tổ chức Jasig đang hợp nhất với tổ chức Ap bd, vì vậy một số url có thể thay đổi trong tương lai.

Adam Franco
nguồn
vì mục đích tiết lộ đầy đủ - có thể đáng nói đến việc bạn có liên quan đến dự án đang được đề cập
Journeyman Geek
Đó là một ghi chú công bằng. Tôi liên kết với dự án CAS với tư cách là người dùng và đồng bảo trì thư viện máy khách PHP cho hệ thống, phpCAS. Tôi đã gửi một vài báo cáo lỗi và bản vá cho dự án chính, nhưng tôi không tin rằng bất kỳ thứ gì đã thực sự được tích hợp vào dự án CAS.
Adam Franco
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.