我希望能够为使用我的网站的人们提供与他们内部身份验证系统(我猜是 LDAP,因为我不想将其限制为仅适用于 Windows 用户的解决方案)的集成。
目标是让用户能够使用他们的公司用户 ID 和密码登录我的网站(或者更好的是,如果他们已经通过身份验证,则根本无需登录)。
可悲的是,我对这些事情一无所知。
有没有一种方式可以安全地做到这一点,并且使得每次这样的集成都不是一次艰巨的任务?
我应该注意哪些陷阱?
是否有关于此类主题的永恒资源可以推荐?
答案1
您描述的解决方案基本上是单点登录。您应该阅读使用身份提供商发起的单点登录SAML。
对于该领域的供应商,请查看 Ping Identity 和 Symplified。
SAML 并不简单,但它是企业 SSO 的事实标准。
答案2
您真的不想这样做 - 这只会给您带来痛苦和折磨。
远程站点的防火墙规则将发生变化,身份验证将中断。这将是您的错,即使您无法控制它。LDAP
模式将随着时间的推移而发展,周一完全正确的内容到周三将无法使用。再次强调,这是您的错(你的网站坏了,尽管他们的变化才是导致问题的原因),你就会被要求修复这个问题。
很少有理智的网站管理员会同意让你访问他们的用户数据库。他们正在打开一个漏洞,尽管这个漏洞可能受到限制,但理智的管理员会为了给用户带来一点便利而拒绝这样做。
如果您想提供这样的服务,您确实需要进入他们的公司网络,并遵守其控制和限制(即您将在他们的站点部署硬件)。然后,您通常会集成到他们的 Kerberos 域中,这允许已登录的用户使用 Kerberos 票证向其他服务进行身份验证,而无需输入其用户名/密码。