如何为我的 Web 应用程序构建 LDAP 集成？

Question

我的公司开发并销售一个拥有数百名客户的 SaaS 应用程序。 我们的一些客户要求我们支持 LDAP 集成，以便根据他们现有的系统验证用户帐户，而不必为每个员工创建另一个登录帐户。 似乎这在很多地方都被称为单点登录 (SSO)？ 当然，我们的系统已经有一个机制来维护用户帐户配置文件并从我们的登录页面验证这些用户帐户。

我们对 LDAP 有点无知，并且对一些事情感到困惑。 请原谅可能使用错误的术语（请记住，我们对此有点无知）。

我们认为我们了解其工作原理的基础知识：

• 我们的客户配置其帐户以“打开”其帐户的“远程身份验证”功能。 他们提供将验证其用户身份的远程 URL。
• 用户来到我们的登录页面并尝试使用其公司的 LDAP 系统提供的用户名和密码登录。
• 我们的登录页面将安全地将登录凭据（可能以某种商定的格式加密和散列）转发到我们客户提供的“远程身份验证”URL。
• 客户的脚本将对用户进行身份验证，然后将他们重定向回我们的带有“身份验证状态”的网站。
• 我们的页面将分析“身份验证状态”并接受用户登录或未登录。

假设上述信息是半正确的，我们仍然需要每个用户在我们的系统中拥有一个帐户。 我们是否需要某种方法来将我们的用户帐户配置文件与 LDAP 目录中的用户配置文件同步？ 这只是一个引用 LDAP 系统中用户 ID 的“外部 ID”吗？ 那么是否需要客户的“远程身份验证”脚本必须向我们的系统提供该 ID，以便我们知道系统中的哪个用户帐户与登录关联？

我们缺少什么？

顺便说一句，我们的平台是 IIS、ASP.Net 2.0 和 SQL Server 2005。

Answer 1

有几种选择。 如果您真正指的是 LDAP，而不仅仅是 Active Directory，我可能会考虑使用 System.DirectoryServices.Protocols 通过安全通道使用提供的凭据来执行 LDAP 绑定。

严格来说，这不是单点登录。 SSO 意味着您只需在首次登录时提交一次信用信息。 这只是通过仅使用一个 ID 来降低用户的复杂性。 通常，对于混合平台和技术的企业环境中的 Windows 客户端，SSO 是通过添加到桌面的客户端来实现的，该客户端管理对各种系统的身份验证。 在仅限 MS 的环境中，如果您的所有 Web 应用程序都位于 IIS 上，您使用 IE 并使用集成 Windows 身份验证、模拟和所有这些内容，则您可能会实现 SSO。

您可以考虑将经过身份验证的用户自动注册到您的系统中，除非您需要预先配置配置文件类型数据。 如果您确实需要预先配置用户，您可以考虑定期从 LDAP 目录导入（全部或过滤的子集）用户，并使它们处于未配置状态，以便管理员从现有的未配置列表中进行选择- 配置用户而不是输入 ID。 否则，您的管理员可能会面临输入错误用户 ID 并导致不匹配的风险。

您可以提供一个 API，以便身份和访问管理解决方案（考虑到您的 Microsoft 倾向，请参阅 ILM2 007 作为一个示例）可以与您的系统集成并为您执行所有用户帐户管理。

Answer 2

一如既往，请记住验证身份验证测试，以确保发送的密码不为空。

根据标准，具有用户名且没有密码的绑定被视为匿名绑定，并且看起来已经成功！ 事实上，它确实没有。

这是应用程序需要处理的问题，因为 LDAP 服务器只是遵循标准，这是一个令人讨厌的标准，但仍然是一个标准。

Answer 3

也许考虑身份验证与授权身份

验证 - 这是哪个用户？
授权 - 谁应该能够使用该应用程序、指定的用户、组？

目前，您暗示通过身份验证进行授权，因为只有那些注册到您的应用程序的人才被允许使用它。

如果您使用目录而不是自定义数据存储，然后

• 使用目录连接方法来验证用户
• （可能）免费获得身份验证 - 用户是 Windows 已知的，Windows 可以识别 iis 和 sqlserver，也许不需要询问用户是谁。
• 您将知道比授权更多的用户，并且需要应用限制 - 限制与特定组的连接。
• 可以将用户数据存储在目录中，而不是将应用程序数据存储在 SQL Server 中。

如果您的用户确实想要通用 LDAP，那么您需要查看 (C)ldap_connect, ldap_bind_s (C#) LDAPConnection System.DirectoryServices.Protocols

或者再次回到 AD < a href="http://channel9.msdn.com/posts/donovanf/Demystified-Series-WinForms-App-Single-Sign-On-in-2-Lines-of-Code/" rel="nofollow noreferrer">揭秘 .Net 应用单点登录可能会有所帮助

Answer 4

您需要决定计划如何将 LDAP 用户链接到应用程序中的帐户。

例如，您可能要求 LDAP 系统中的用户名与应用程序中的用户名匹配，或者您可能要求某人在应用程序的每个用户帐户中显式指定 LDAP 用户名。

一旦找到该链接，您就可以简单地执行 LDAP 绑定来测试用户凭据。

Answer 5

这在我们的系统中是这样工作的：

• 当用户导航到 Web 应用程序时，REMOTE_USER 服务器变量被假定为用户令牌
• 登录代码使用特定于搜索的帐户连接到 ldap 目录
• 登录代码查找 ldap 帐户“匹配” REMOTE_USER
• 登录代码然后尝试将该帐户与我们系统中的帐户进行匹配
• 如果可以一直匹配，则假设用户以匹配的帐户登录，正常继续

这样用户就可以重用他们的窗口我们的应用程序内的域身份验证。

Answer 6

这是一款有用的软件，允许使用 JSON-RPC 通过网络访问 LDAP 目录： Json2Ldap