LDAP для Управления Доступом к приложению, каким количеством это должно управлять?
Предшественник: я работал теперь в двух средах с конфликтующими принципалами на этом. Я обрисовываю в общих чертах конкурирующие идеи и хотел бы знать, который 'корректен', учитывая описанный сценарий.
Сценарий: Несколько приложений существуют на нашей интранет. Мы реализуем OpenSSO с LDAP как наше управление аутентификацией и пользовательский каталог. Проблема приходит к игре, с аутентификацией LDAP, мы знаем, что пользователю разрешают на интранет, но к которым приложениям сомнительно.
Мы намереваемся использовать LDAP для управления тем, к каким приложениям каждый пользователь может получить доступ т.е. справочная служба, обзор консультанта, генератор отчетов, опросите создателя и т.д.
Вопрос возникает в этом, в рамках каждого приложения существенное количество ролей и то, что у людей может быть несколько ролей.
Что лучший способ состоит в том, чтобы обратиться к этой второй области? Shoudl ВСЕ роли быть в ldap или просто допусках приложения с каждой базой данных приложения, содержащей более детализированные роли?
1 ответ
Один из подходов заключается в использовании LDAP для поддержания относительно высокоуровневой информации о ролях, но с сохранением очень подробной информации о конкретном приложении внутри каждого приложения.
Например, человек может быть членом таких групп (ролей) LDAP, как «сотрудник», «сотрудник службы поддержки», «руководитель службы поддержки» и т. Д., А затем отдельные приложения будут отображать роли высокого уровня в специфические для приложения функции. Конкретная роль высокого уровня может предполагать доступ к нескольким приложениям, а разные роли будут иметь разные уровни доступа.
Например, «сотрудник службы поддержки» может создавать заявки, но, возможно, только супервизор может их удалять или создавать отчеты.
Это одна из тех областей, где нет однозначного правильного ответа. Централизация всего в LDAP дает вам лучшие возможности для составления отчетов / аудита доступа отдельных лиц за счет усложнения вашей центральной схемы LDAP большим количеством данных, специфичных для приложений. Кроме того, в зависимости от того, какие существующие / коммерческие приложения вы пытаетесь интегрировать, приложения могут не поддерживать получение всей своей детальной информации о доступе из LDAP.