注意 - 关于将 Google 应用帐户同步到 Active Directory 的讨论很多。这是一个不同的问题 -
我希望 Google 应用上的用户(大约 10 个)通过 SSO 使用他们的 Google 应用帐户登录到我的本地网络应用,即 gitlab/gerrit/jenkins。
此外,我希望他们通过 Active Directory 使用相同的 ID 登录到他们的本地 Linux 机器。
因此,一旦他们登录到他们的机器,他们就应该能够访问配置为使用谷歌应用程序和其他谷歌应用程序(gmail / drive)的所有本地网络应用程序,而无需执行任何其他登录。
这可能吗?怎么办?
答案1
这是 SLO 和 SSO 的混合 - 单一登录方面很常见,并且可以通过多种方式进行配置,它们将依赖于 LDAP 协议,因此您的 Linux 客户端将位于您的私有网络内,并配置为向域控制器发送身份验证请求 - 这涵盖单一登录,有许多资源涵盖部署、配置和管理这种设置。
第二种情况是单点登录,身份验证发生在您的域中,授权发生在另一个域中,这是通过安装身份提供者或订阅提供对单点登录协议支持的在线服务 SAS 产品来实现的。
您的问题提到了活动目录联合服务,如果您在域中拥有该服务,那么您可以支持以下协议:安全断言标记语言 (SAML) Windows 联合身份验证 (WIF) 轻量级目录访问协议 (LDAP) OpenIDConnect (OIDC)。您可以集成 Kerberos 票务并实现真正的 SSO。
您可以使用 OIDC 实现您所尝试的功能,并且您应该尝试坚持使用一种联合协议 - 因为使用 SAML 登录服务不会自动将您登录到依赖于 OIDC 的服务。
Google 应用程序使用 OIDC 协议 - 但不清楚您的身份提供商是 ADFS 还是 Google。