LDAP を使用してユーザーを認証する SysAid という新しいソフトウェアの使用を開始しました。
OpenAMを使用して独自のWebアプリケーションに対してユーザーを認証する顧客がいます。
私たちの目標は、OpenLDAPをOpenAMサーバーとLDAPサーバーの間の仲介者として使用することです。究極の目標は、ユーザーが追加のアカウントを作成せずにOpenAM資格情報を使用してSysAIDにログインできるようにすることです。
仮想マシンでOpenAMサーバーとOpenLDAPサーバーを正常に実行しましたが、次に何をすべきかわかりません。
おそらく私がやろうとしていることを達成するより良い方法があります。そうでなければ、正しい方向にいくつかの有用な情報を渡すことは私の一日に驚くべきことです!
答え1
究極の目標は、ユーザーが追加のアカウントを作成せずにOpenAM資格情報を使用してSysAIDにログインできるようにすることです。
数年前、OpenAMにこの種のタスクを実行させることはできませんでした。しかし、おそらくOpenAMはそれを少し整理したかもしれません。私ははるかに良い幸運を持っていますヒボレス。
これを行う簡単な方法は、SAML v2.0またはOAuth 2.0を使用することです。 SysAIDはCookieフリーアクセスをOpenAMサーバーにリダイレクトします。 OpenAMサーバーはユーザーIDとパスワードを要求し、それをLDAPに対して認証します。認証が正常に完了すると、OpenAMはSysAIDにリダイレクトされます。次のコマンドを使用して、この種のジョブが実際に実行されている様子を確認できます。SimpleSAMLphp、そしてFeideOpenIdP。
OpenAMがブローカー/ブローカーであり、OpenLDAPをブローカーとして使用すると、状況が複雑になることがわかります。
答え2
SysAidの観点からは、OpenLDAPサーバーの形で仲介者を配置し、OpenAMからデータを収集し、SysAidを使用する代わりにOpenAMへの直接認証を許可するようにSysAid用の外部ログインクラスを作成できます。そこからデータを取得します。
それでもOpenAMからSysAidにユーザーの詳細をインポートする必要がありますが、OpenAMからCSVファイルにユーザーをエクスポートできる場合は、SysAidにインポートできます(毎日のインポートのスケジュールも可能です)。
SysAid用の外部ログインクラスを作成するにはプログラミング技術(Java)が必要であり、実際にサポートするにはOpenAMが必要であることに注意してください。
このプロジェクトを直接開発するリソースがない場合は、SysAidの専門サービスチームに連絡して実装するための価格見積もりを入手してください。
答え3
これはOpenAMの設定方法によって大きく異なりますが、いくつかの場合を除き、すでにLDAPバックエンドを使用しています(アクセス制御 - > [領域] - >データストアに移動して確認できます)。
SysAidがLDAP認証をサポートしている場合は、新しいアカウントを作成/管理することなく、OpenAMが現在使用しているのと同じLDAPデータストアに対して認証できる必要があります。シングルサインオンではありませんが、同じユーザー/グループ/パスワードなどを使用します。