是否有一种标准化的方法来为不能直接访问AD控制器的web服务设置AD身份验证?我正在考虑一个云应用程序,如Google Apps,希望对组织的AD进行身份验证。
我在谷歌上搜索了很多,但我似乎不知道正确的关键词。也许有人能给我一些启发或给我一些搜索指针。
最优雅的解决方案是使用身份联合。基本思路是在本地对用户进行身份验证,就像在常规应用程序上所做的那样,并向云提供商发送安全令牌,以证明用户的身份。SAML是用于实现这一目标的最常用的联合协议。谷歌有一个很好的页面来解释细节,维基百科页面也很有见地:
有很多身份联合解决方案,例如:
- Active Directory Federation Services (ADFS)
- SimpleSAMLphp
- OpenAM
SimpleSAMLphp可能是熟悉SAML的一个很好的开始,因为它是…简单:)连接到google apps的步骤如下:
ADFS将是一个以广告为中心的解决方案,但配置起来有点复杂。