SaaS 身份验证

Question

建议采用什么作为软件即服务产品的身份验证解决方案？

具体来说，我的产品的客户通常信息技术技能较低，甚至可能在其组织内没有 IT 部门。我仍然希望我的应用程序针对其内部目录服务（eDirectory、Active Directory 等）进行身份验证。然而，我不希望他们必须打开/转发端口（例如，打开端口 636，以便我可以直接将 LDAPS 绑定到他们的目录服务）。

我的一个想法是在其组织网络内的服务器上安装一个应用程序，该应用程序将反向连接到我的服务。这将是一个持久套接字。当我需要对用户进行身份验证时，我通过套接字发送凭据（加密） - 然后应用程序执行绑定/任何操作以对目录服务进行身份验证，并回复 OK/FAIL。

你有什么建议？我的目标本质上是让客户端在其网络中安装应用程序，只需很少的配置或干预。

Answer 1

该供应商 Stormpath 提供的服务正是您所要求的：用户身份验证、用户帐户管理，以及连接到客户的本地目录（如果需要，就像您的情况一样）。

Answer 2

我认为在你的情况下，有必要在他们的网络上放置一个代理，在本地执行身份验证，然后创建一个签名令牌，向你的 SaaS 应用程序“证明”它已经这样做了；这可以由浏览器在查询字符串或表单帖子中传递（例如）。

该代理可能是一个可安装 IIS 的 Web 应用程序，它只能对用户进行身份验证，然后将他们定向到云中的服务器。这不应该成为安装的主要麻烦，但会产生技术支持问题。特别是，您需要第一次就正确设置该组件，因为用户不会定期更新它。

让它安全地工作可能会很有趣。