Аутентификация Active Directory для продукта SaaS

После некоторой теоретической помощи по лучшему подходу, позволяющему продукту SaaS аутентифицировать пользователей на внутреннем сервере Active Directory (или другом LDAP) арендатора.

Приложение размещено, но существует требование, чтобы арендаторы могли делегировать аутентификацию своему существующему провайдеру управления пользователями, например AD или OpenLDAP и т. д. Инструменты, такие как размещенный обмен Microsoft Online, поддерживают корпоративную синхронизацию AD.

Предполагая, что клиент не хочет перенаправлять порт 389 на свой Контроллер домена, какой подход лучше всего подходит для этого?