LDAP vs autorização SAML
Tão longe da minha busca, não consegui encontrar um fluxo de trabalho SAML análogo a isto. Parece que a única oportunidade que temos para identificar "alguém" é quando eles autenticam e temos acesso às suas alegações. Mas no nosso fluxo de trabalho "alguém" pode nunca se autenticar connosco. É quase como se estivéssemos a usar a autorização de um utilizador em nome da conta de serviço. Há algum fluxo de trabalho existente que eu tenha esquecido durante a minha exploração? Existem outras tecnologias que apoiem a autorização desta forma?
Obrigado por qualquer informação!3 answers
Talvez a primeira pergunta a responder seja por que quer afastar-se do LDAP e pensar no SAML. É porque você quer aceitar usuários se conectando com suas próprias credenciais? É porque você quer se livrar do servidor LDAP completamente
Podias perfeitamente bem manter o seu servidor LDAP para gerir resources associated with users
, e autenticar os utilizadores noutro local. Isto é o que tens agora. Você correlacionaria os usuários "fora " e" dentro " através de um atributo comum (por exemplo, um nome de usuário, ou algum ID).
Se você quiser se livrar de LDAP todos juntos, então você precisa de outro lugar para armazenar essa informação (por exemplo, a sua base de dados app).
Com base na resposta de Eugenio Pacee, em particular, no seguinte parágrafo:
O que Eugenio refere aqui é o controlo de acesso baseado em atributos ABAC. O SAML não faz isso. Para alcançar ABAC, você precisa de XACML. Tanto o SAML quanto o XACML são padrões definidos pelo OASIS e que interoperam. Com o XACML você pode definir regras baseadas em atributos. Por exemplo, poderíamos revisitar o seu exemplo e escrever uma regra como segue:Assim, analogamente, o SAML é normalmente usado para autenticar os utilizadores a um sistema (Uma vez que se confia na sua origem), mas não existem disposições para gerir perfis de utilizadores, ou 'recursos'.
As decisões de autorização, caso existam, são frequentemente tomadas com base nos atributos associados ao Utilizador (por exemplo, o grupo a que pertence) e veiculadas nos pedidos de garantia. simbolo.
- Um usuário com o role==administrador pode fazer o acção==atualização em um recurso de tipo==impressora se, e somente se, a departamento de usuário == departamento de impressora.
Pode ler mais sobre o XACML em ABAC nestes locais de referência:
- local da NISTem ABAC.
- Comité Técnico OASIS XACML
Auth0 implementa comprovada, comum e popular de identidade, protocolos utilizados em orientado para o consumidor de produtos web (OAuth 2.0, OpenID Ligar) e implantações empresariais (SAML, WS-Federation, LDAP).
Security Umssertion Markup Lidioma (SAML) é baseado em XML, framework para autenticação e autorização entre duas entidades: um Provedor de Serviços e um Fornecedor De Identidade. O prestador de serviços concorda em confiar no prestador de identidade para autenticar os utilizadores. O Provedor de identidade autentica os usuários e fornece aos prestadores de Serviços uma afirmação de autenticação que indica que um usuário foi autenticado.
Lightweight Directory Umacesso Protocol (LDAP) é um protocolo de aplicação, utilizado para o acesso e manutenção de diretório distribuído de serviços de informação sobre um Internet Rede Protocol (IP).