LDAP per Controllo accesso applicazioni, quanto dovrebbe controllare?

Question

Un precursore: ho lavorato ora in due ambienti con principi in conflitto su questo. Sto delineando le idee in competizione e vorrei sapere che è "corretto" dato lo scenario descritto.

Scenario: sulla nostra intranet esistono più applicazioni. Stiamo implementando OpenSSO con LDAP come controllo di autenticazione e directory degli utenti. Il problema è che, con l'autenticazione LDAP, sappiamo che un utente è autorizzato sulla intranet ma a quali applicazioni è discutibile.

intendiamo utilizzare LDAP per controllare quali applicazioni ogni utente può accedere ad esempio helpdesk, revisione consulente, generatore di report, sondaggio creatore ecc

La questione si pone in quanto, all'interno di ogni applicazione sono una notevole quantità di ruoli, e il fatto che le persone possano avere più ruoli.

Qual è il modo migliore per affrontare questa seconda area? Tutti i ruoli di Shoudl si trovano nel ldap o solo nelle tolleranze delle applicazioni con ogni database dell'app contenente i ruoli più granulari?

Answer 1

Un approccio consiste nell'utilizzare LDAP per mantenere informazioni di ruolo di livello relativamente alto, ma mantenere le informazioni specifiche dell'applicazione dettagliate all'interno di ciascuna applicazione.

Ad esempio, un individuo può essere membro di gruppi LDAP (ruoli) come "dipendente", "associato all'help desk", "supervisore dell'help desk", ecc., Quindi le singole applicazioni mappano i ruoli di alto livello nelle funzioni specifiche dell'applicazione. Un particolare ruolo di alto livello potrebbe implicare l'accesso a più applicazioni e diversi ruoli avrebbero diversi livelli di accesso.

Ad esempio, un "associato all'help desk" potrebbe essere in grado di creare ticket, ma forse solo un supervisore può eliminarli o eseguire report.

Questa è una di quelle aree in cui non esiste una risposta giusta. La centralizzazione di tutto in LDAP offre una migliore capacità di segnalare/controllare l'accesso degli individui, a costo di complicare lo schema LDAP centrale con molti dati specifici dell'applicazione. Inoltre, a seconda delle applicazioni esistenti/commerciali che stai cercando di integrare, le applicazioni potrebbero non supportare tutte le informazioni di accesso dettagliate da LDAP.