在我的组织中,我们目前使用以下内容:
- W2K8 R2-活动目录
- 适用于企业的 Google 应用
- Salesforce 企业版
这些都具有 SSO 连接功能。我希望将它们连接起来,这样我的用户就只需要一个密码,而不用记住 3 个密码(我敦促他们每个月更换所有 3 个密码 - 他们不听 - 我会)。
正确的程序应该是什么?最简单?
- Google Apps 支持 - SAML、使用 OpenID 和第三方 OAuth 的联合登录。- 我可以使用他们的谷歌目录同步将我的域名同步到谷歌服务。
Salesforce 支持以下内容
- Active Directory 在该图中处于什么位置?
我的问题是 SF 安全在这里适合什么位置?谁应该是代表/联合实体?我应该寻找第三方吗?(我认为这只会增加复杂性 - 还是没有?)
注意:我在这里不寻求循序渐进的方法。我无法确定哪个实体将在 SSO 身份验证过程中占据什么位置。
答案1
我建议使用 SAML 为 Google Apps 和 Salesforce.com 提供 SSO。它们将充当 SAML 联合模型的“服务提供商”角色。一旦 Google Apps 和 SF.com 进行了配置,尝试直接访问其中一个(例如通过书签或电子邮件 URL)的用户将被重定向到“身份提供商”。IdP 负责与用户交互以验证其身份。IdP 将配置为使用您的 Active Directory 作为用户存储库 - 这是唯一需要实际管理用户密码的地方。然后,IdP 会将用户发送回 SP,其中包含有关用户的身份声明的 SAML 响应。SP 验证响应的真实性,然后使用声明将 AD 用户映射到适当的 Google Apps 或 SF.com 帐户。
顺便说一句,我们在 PortalGuard 产品内部使用这个确切的模型,作为 Google Apps 和 SF.com 的 IdP。您也可以使用 ADFS、OpenAM 或 Ping 来充当这个角色,但 PortalGuard 还提供了其他功能,例如双因素/更强的身份验证、自助密码管理和密码同步。
这里唯一的其他警告是,您至少需要拥有 SF.com 的企业版才能支持 SP 发起的 SSO(用户访问 SF第一的)。Google Apps 很好地支持 SP 发起的 SSO。