多くの場合、エンタープライズユーザーのプロビジョニングにLDAPを使用します。これは、集中化されたユーザーストアとして機能します。 SaaSとSCIM APIを簡単に統合できます。LDAPは外部ユーザーに適していますか?
しかし、シングルサインオンの目的で認証用に単一のデータストアを実装し、同じ組織が提供する複数のWebサイトで簡単なユーザー提供を実装する場合は、LDAPを外部ユーザーに使用することをお勧めします。
LDAPとSCIMに関するすべての説明では、内部ユーザーデータベースまたは複数のイントラネットアプリケーションへのSaaS統合の使用例が示唆されています。
もしそうでなければ、それを行うための標準に基づく方法は何でしょうか?課題は何でしょうか?
LDAPは、あらゆるタイプのユーザーまたはデバイスのID情報を格納するのに適しています。ほとんどのリレーショナルデータベースと現代のLDAPサーバーの実装は、非常に大容量に拡張できます。
シングルサインオンの目的では、LDAPは何の助けも提供しません。 SAMLまたはOpenID ConnectはSSOの「最新のベストプラクティス」になります。
SCIM 2.0は、アイデンティティ情報ストアとしてLDAPに対してCRUD操作を実行するのに優れています。
一般的な要求からの挑戦は、stackoverflowの範囲を超えています。
OpenID Connectの素晴らしい点の1つは、認証を抽象化してから、SCIMがCRUD操作を抽象化してバックエンドが問題にならないようにすることです。
特定の質問をすると、最良の結果が得られます。
コンサルタントとして、顧客アイデンティティとアクセスMAnagement(CIAM)と呼ばれる業界の流行語を使用して、より多くの大企業がイニシアチブを開始するのを見てきました。これらの大規模な組織の要素の1つは、外部ユーザー(または必要に応じてID)の管理です。これらの組織は、アイデンティティ情報を格納するためにLDAPベースのユーザーディレクトリを使用しています。これらのアーキテクチャでは、ユーザーのプロビジョニングとフェデレーションにSCIM、SAML、およびOIDC標準を使用しています。私たちのコンサルティングでは、Active Directory、AD-LDS、OpenLDAP、CA-LDAP、PingDirectoryなど、さまざまなLDAPサーバーを見てきました。LDAPの選択の鍵は規模とパフォーマンスのパラメータです。リポジトリのサイズと圧縮、インデックス作成のスピードと技術的な実装、基礎となるデータ管理、データの同期化については、技術については必ず質問してください。
上記の恥知らずのプラグインについて、私はPingDirectory(以前はUnboundIDとして知られていました)に精通しています。実際には、数千万の顧客ユーザーに実装されている通信事業に根差しています。ユースケースに最適なテクノロジを判断するための分析の一環として、その製品を見ていきます。
恥知らずのプラグ。 [PingDirectory Server](https://www.pingidentity.com/en/products/pingdirectory-and-data-server.html)は、LDAPプロトコルとSCIMプロトコルの両方をサポートしています。もともと、この製品はLDAP専用でした。 –
その場合、LDAPを使用する代わりにRDBMSで独自の認証スキーマを作成する理由が考えられます。 – pinkpanther
@pinkpanther私はしばしばそれも不思議です。私はLDAPよりもRDBMSに精通している人が増えていると思います。また、OpenID ConnectとSCIMがどのように優れているのか、答えを広げました。 – jwilleke