應用程序訪問控制的LDAP，它應該控制多少？

Question

一個前兆：我現在已經在兩個相互衝突的委託人環境中工作。我概述了這些競爭性的想法，並想知道在所描述的場景中哪個「正確」。

場景：我們的Intranet上存在多個應用程序。我們正在使用LDAP來實現OpenSSO作爲我們的身份驗證控制和用戶目錄。問題就在於，通過LDAP認證，我們知道用戶可以在Intranet上使用，但是哪些應用程序有問題。

我們打算用LDAP來控制哪些應用程序的每個用戶都可以訪問即服務支持，顧問評審，報告生成，調查的創建者等

問題出現在每個應用程序中的角色是一個顯著量，以及人們可能擁有多重角色的事實。

解決這個第二方面的最佳方法是什麼？ Shoudl所有角色都在ldap中，或者只是應用程序允許每個應用程序數據庫包含更細粒度的角色？

Answer 1

一種方法是使用LDAP保持相對高水平的角色信息，但要保持內部的每個應用程序的非常詳細的應用特定的信息。

例如，某個人可能是LDAP組（角色）的成員，如「員工」，「幫助臺助理」，「幫助臺主管」等，然後單個應用程序將映射高級角色進入應用程序特定的功能。一個特定的高級角色可能意味着訪問多個應用程序，而不同的角色可能具有不同的訪問級別。

例如，「幫助臺準」或許能夠創造門票，但也許只有一個管理員可以刪除或運行報告。

這是沒有一個正確答案的領域之一。集中LDAP中的所有內容使您能夠更好地報告/審覈個人的訪問權限，代價是通過大量特定於應用程序的數據使您的中央LDAP模式複雜化。另外，根據您嘗試集成的現有/商業應用程序，應用程序可能不支持從LDAP中提取所有細粒度的訪問信息。