1. Inicio
  2. Pregunta y respuesta
  3. LDAP para Application Access Control, ¿cuánto debería controlar?

LDAP para Application Access Control, ¿cuánto debería controlar?

2010-07-29 6 views
7

Un precursor: he trabajado ahora en dos entornos con principios contradictorios sobre esto. Estoy delineando las ideas en competencia y me gustaría saber cuál es 'correcto' dado el escenario descrito.LDAP para Application Access Control, ¿cuánto debería controlar?

Escenario: Existen varias aplicaciones en nuestra intranet. Estamos implementando OpenSSO con LDAP como nuestro control de autenticación y directorio de usuarios. El problema es que, con la autenticación LDAP, sabemos que se permite a un usuario en la intranet, pero a qué aplicaciones es cuestionable.

Tenemos la intención de utilizar LDAP para controlar qué aplicaciones puede acceder cada usuario es decir, asistencia, revisión consultor, generador de informes, etc. encuesta creador

Se plantea la cuestión de que, dentro de cada aplicación son una importante cantidad de papeles, y el hecho de que las personas pueden tener múltiples roles.

¿Cuál es la mejor manera de abordar esta segunda área? ¿Todas las funciones de Shoudl ALL están en el ldap o solo en las asignaciones de la aplicación con cada base de datos de la aplicación que contiene las funciones más granulares?

Fuente

2010-07-29 CogitoErgoSum

Respuesta

5

Un enfoque es usar LDAP para mantener información de rol de nivel relativamente alto, pero mantener la información específica de la aplicación muy detallada interna para cada aplicación.

Por ejemplo, una persona puede ser miembro de grupos LDAP (roles) como "empleado", "asociado de mesa de ayuda", "supervisor de mesa de ayuda", etc., y luego las aplicaciones individuales asignarían los roles de alto nivel en las funciones específicas de la aplicación. Un rol particular de alto nivel podría implicar acceso a múltiples aplicaciones, y diferentes roles tendrían diferentes niveles de acceso.

Por ejemplo, un "asociado de mesa de ayuda" podría crear tickets, pero tal vez solo un supervisor puede eliminarlos o ejecutar informes.

Esta es una de esas áreas donde no hay una respuesta correcta. Centralizar todo en LDAP le brinda una mejor capacidad para informar/auditar el acceso de las personas, a costa de complicar su esquema LDAP central con una gran cantidad de datos específicos de la aplicación. Además, dependiendo de las aplicaciones existentes/comerciales que intente integrar, es posible que las aplicaciones no admitan la extracción de toda su información de acceso detallado de LDAP.

Fuente

2010-07-29 15:11:04

+0

Gracias por la entrada, esta es en gran medida la misma idea que yo mismo sigo, solo quería asegurarme de que fuera un buen razonamiento. Me estoy encontrando con algo de resistencia (espero dos años en los que tengamos 100 aplicaciones, ahora solo tenemos 5) ya que las personas no se dan cuenta del complejo árbol LDAP con el que podemos terminar si ponemos demasiado en eso :). – CogitoErgoSum

Cuestiones relacionadas

 Cuestiones relacionadas