servers que función esquema cuál autenticación authentication ldap security-roles

authentication - que - LDAP para Application Access Control, ¿cuánto debería controlar?



que es ldap authentication (1)

Un precursor: he trabajado ahora en dos entornos con principios contradictorios sobre esto. Estoy delineando las ideas en competencia y me gustaría saber cuál es ''correcto'' dado el escenario descrito.

Escenario: existen múltiples aplicaciones en nuestra intranet. Estamos implementando OpenSSO con LDAP como nuestro control de autenticación y directorio de usuarios. El problema es que, con la autenticación LDAP, sabemos que se permite a un usuario en la intranet, pero a qué aplicaciones es cuestionable.

Tenemos la intención de utilizar LDAP para controlar a qué aplicaciones puede acceder cada usuario, es decir, servicio de asistencia, revisión de consultores, generador de informes, creador de encuestas, etc.

La pregunta que surge es que dentro de cada aplicación hay una cantidad significativa de roles y el hecho de que las personas pueden tener múltiples roles.

¿Cuál es la mejor manera de abordar esta segunda área? ¿Todas las funciones de Shoudl ALL están en el ldap o solo en las asignaciones de la aplicación con cada base de datos de aplicación que contiene las funciones más granulares?

Un enfoque es utilizar LDAP para mantener información de roles de nivel relativamente alto, pero mantener la información específica de la aplicación muy detallada interna para cada aplicación.

Por ejemplo, una persona puede ser miembro de grupos LDAP (roles) como "empleado", "asociado de mesa de ayuda", "supervisor de mesa de ayuda", etc., y luego las aplicaciones individuales asignarán los roles de alto nivel a la aplicación: funciones específicas. Un rol particular de alto nivel podría implicar acceso a múltiples aplicaciones, y diferentes roles tendrían diferentes niveles de acceso.

Por ejemplo, un "asociado de mesa de ayuda" podría crear tickets, pero tal vez solo un supervisor pueda eliminarlos o ejecutar informes.

Esta es una de esas áreas donde no hay una respuesta correcta. Centralizar todo en LDAP le brinda una mejor capacidad para informar / auditar el acceso de las personas, a costa de complicar su esquema LDAP central con una gran cantidad de datos específicos de la aplicación. Además, dependiendo de las aplicaciones existentes / comerciales que intente integrar, es posible que las aplicaciones no admitan la extracción de toda su información de acceso detallado de LDAP.