LDAP適用於外部用戶嗎？

Question

LDAP通常用於配置企業用戶。它充當集中式用戶存儲。易於與具有SCIM API的SaaS集成。

但它是一個好主意，使用LDAP爲外部用戶，如果我們要實現單個數據存儲用於身份驗證的單點登錄的目的上，並在多個網站易於用戶提供而是由同一組織所提供。

所有關於LDAP和SCIM的描述建議用例的SaaS集成到內部用戶數據庫或多個企業內部網應用。

如果沒有，那麼基於標準的方法是什麼？挑戰是什麼？

Answer 1

LDAP是存儲任何類型用戶或設備的身份信息的理想選擇。比大多數關係數據庫和現代LDAP服務器更快實現可以擴展到非常大的容量。

對於單點登錄目的，LDAP不提供任何幫助。 SAML或OpenID Connect將成爲SSO的「當前最佳實踐」。

SCIM 2.0將針對LDAP是執行CRUD操作的身份信息存儲使用性能優異。

來自通用請求的挑戰超出了stackoverflow的範圍。

一個關於ID連接偉大的事情是它抽象的身份驗證，然後再SCIM也抽象的CRUD操作，使後端無所謂。

詢問具體問題將獲得最佳結果。

Answer 2

作爲一名顧問，我發現越來越多的大型企業開始採用業界流行詞 - 客戶身份和訪問管理（CIAM）。這些大型組織的要素之一是管理外部用戶（如果您願意，還可以使用身份）。這些組織正在使用基於LDAP的用戶目錄來存儲身份信息。這些體系結構確實分別爲用戶供應和聯合使用SCIM，SAML和OIDC標準。在我們的諮詢中，我們已經看到許多用於此目的的不同LDAP服務器，包括活動目錄，AD-LDS，OpenLDAP，CA-LDAP，PingDirectory等。選擇LDAP的關鍵是規模和性能參數，所以在做出選擇時對於該技術，一定要詢問存儲庫大小和壓縮，索引速度和技術實現，底層數據管理和數據同步。

至於上面這個無恥的插件，我熟悉PingDirectory（以前稱爲UnboundID），這是一個很好的縮放和性能產品，因爲它內置了一些功能，可以很好地擴展。事實上，它源自電信行業，數以千萬計的用戶使用這些產品。作爲您的分析的一部分，以確定哪種技術最適合您的用例，我會查看該產品。