云应用程序和单点登录（AD 集成）

Question

我一直在调查一些云供应商以及他们实现单点登录的能力，特别是在 AD（Active Directory）集成方面。

到目前为止，我了解到 Azure 可以通过 ADFS 和 AppFabric 访问控制产品实现这一点。

在 AWS 中，由于可以创建 VPN 并将 EC2 实例视为私有数据中心的自然扩展，因此我相信实施 SSO 会相当简单（不确定我在这一点上是否正确...请纠正我，如果我错了）。

不过，对于 App Engine，尽管有一些关于 Google Apps 的 AD 同步（不是完全集成）的文档，但我仍在努力找出 AD 集成是否可能......有什么策略吗？

任何有关云应用程序和 AD 集成的信息都将不胜感激！

Answer 1

App Engine 应用程序只能使用 HTTP 或 HTTPS 调用其他服务，因此您无法直接查询 AD 服务器。当然，我确信您可以构建一个简单的 HTTP/LDAP 桥（如果尚不存在）。
更新：哎呀，我忘记了 SDC，或者安全数据连接器。它并不完全是 HTTP/LDAP 桥接器，但可以在您的 Intranet 和 Google App Engine 应用程序之间提供桥梁。

Answer 2

您通常不需要应用程序（在本例中在 GAE 中运行）和 AD 之间进行通信。

相反，您可以从 STS (ADFS) 获取安全令牌，然后将该令牌发送到配置为接受并信任这些令牌的应用程序。

我不熟悉 GAE，但假设它接受 SAML 令牌并理解 WS-Federation，您可以实现 SSO，而无需暴露 AD 或同步 AD 和 GAE 之间的任何信息（例如使用 ADFS）

这是一个经典的身份联合场景。