Apakah sistem masuk tunggal dengan LDAP masih disarankan hari ini untuk mengintegrasikan banyak perangkat sumber terbuka?

8

Kami memimpin latihan dengan lembaga publik untuk memasang alat sumber terbuka yang berbeda bagi mereka untuk bereksperimen dan melihat apa yang paling cocok untuk mereka.

Jadi, kami memasang:

  • a wiki (dokuwiki)
  • mediagoblin
  • gnu sosial
  • etherpad
  • ethercalc

dan mungkin lebih.

Kami berpikir untuk menggunakan LDAP untuk menyelaraskan login.

Tetapi sering terasa seperti plugin LDAP tidak dipertahankan lagi, dan konfigurasi sulit untuk bekerja dengan baik, beberapa alat memiliki dokumen LDAP yang tidak mencukupi.

Apakah masih merupakan ide bagus hari ini untuk melakukan ini melalui LDAP? Apakah OAuth mungkin pilihan yang lebih baik?

Saya tahu ini bukan pertanyaan kode tetapi yang ingin kami pahami adalah apakah kami harus tetap berpegang pada keputusan kami untuk menggunakan LDAP atau jika kami harus mempertimbangkan jalur lain. Terimakasih banyak

ldap authentication single-sign-on transient_loop
sumber

Jawaban:

13

LDAP tidak dapat menyediakan Sistem Masuk Tunggal. Ada perbedaan besar antara bisa menggunakan pengguna yang sama dan memiliki Single Sign On, yang berarti Anda masuk ke semua sistem sekaligus, dengan satu formulir login. Kalau tidak, LDAP sangat layak untuk menggunakan informasi login yang sama di semua sistem.

OAuth hanyalah protokol untuk melakukan Sign On dan dapat menggunakan LDAP sebagai backend untuk manajemen pengguna.

Florin Asăvoaie
sumber
2
Sebenarnya saya entah bagaimana menyadari perbedaan ini tetapi Anda mengucapkannya dengan cara yang sangat jelas dan ringkas, terima kasih. Saya akan google tentang OAuth / LDAP sebagai arsitektur sistem masuk tunggal, tetapi jika Anda memiliki tautan yang relevan yang ingin Anda bagikan - sangat dihargai.
transient_loop
1

Di dunia universitas, sistem CAS Apereo [sebelumnya Jasig] adalah cara umum untuk melakukan Single Sign On untuk rangkaian besar aplikasi web. Dengan CAS, pengguna hanya memasukkan kata sandi mereka di server otentikasi - aplikasi individual memvalidasi tiket satu kali alih-alih melihat kata sandi pengguna. Ini adalah kemenangan keamanan utama ketika berhadapan dengan aplikasi yang dikembangkan oleh banyak grup dan vendor internal karena tidak ada aplikasi yang pernah memiliki akses ke kata sandi pengguna.

Ada banyak perpustakaan CAS-klien yang tersedia untuk sebagian besar lingkungan pemrograman dan dukungan CAS bawaan menjadi lebih umum untuk aplikasi yang digunakan atau dijual ke universitas. Selain "Jasig CAS Server" utama, ada juga beberapa server tambahan yang tersedia, termasuk Ruby CAS Server dan modul untuk Drupal yang dapat bertindak sebagai server CAS untuk mengautentikasi aplikasi tambahan terhadap basis data Drupal.

Jasig CAS Server itu sendiri ditulis dalam Java dan dapat didukung oleh sejumlah penangan otentikasi , termasuk:

  • Basis data
  • JAS
  • LDAP
  • Warisan
  • OAuth 1.0 / 2.0, OpenID
  • RADIUS
  • SPNEGO (Windows)
  • Tepercaya (REMOTE_USER)
  • X.509 (sertifikat SSL klien)

Server Jasig CAS dapat bertindak sebagai sumber otentikasi untuk aplikasi melalui sejumlah protokol berbeda yang digunakan untuk Single Sign On:

  • Protokol CAS 1/2/3
  • Protokol SAML 1.1 / 2.0
  • Protokol OAuth
  • Protokol OpenId

Ia bahkan dapat digunakan sebagai otentikasi di belakang penyedia Shibboleth atau menggunakan klien Shibboleth sebagai back-end otentikasi.

Catatan: organisasi Jasig bergabung dengan organisasi Apereo, sehingga beberapa url mungkin berubah di masa mendatang.

Adam Franco
sumber
demi pengungkapan penuh - mungkin layak disebutkan Anda terkait dengan proyek yang bersangkutan
Journeyman Geek
Itu catatan yang adil. Saya berafiliasi dengan proyek CAS sebagai pengguna dan pengelola bersama pustaka klien PHP ke sistem, phpCAS. Saya telah mengajukan beberapa laporan bug dan tambalan ke proyek utama, tetapi saya tidak percaya ada yang benar-benar terintegrasi ke dalam proyek CAS.
Adam Franco