BG Development


  Reply to this topicStart new topicStart Poll

> Препоръка за Identity Management OSS
metala
Публикувано на: 12-06-2018, 00:43
Quote Post



Име: Марин Иванов
Група: Потребител
Ранг: Почетен член

Мнения: 1250
Регистриран на: 20.11.08



Търся софтуер който да ми даде възможност за Single Sign-on и Access Control на различни вътрешни услуги (например TeamCity, Grafana, Sentry, JIRA и други).

Накратко:
1. Трябва да има LDAP (било директория или нещо опростено) за SSO и AuthZ
2. Лесно за поддържка и управление (интерфейс)
3. По възможност леко от страна на ресурси.


Спрял съм се на KeyCloak и на второ място на Gluu, които ще ги изтествам тази седмица. Ако имате препоръки или идеи за други или по-прости системи, бих се радвал да чуя мнение по въпроса.
Благодаря.

Това мнение е било редактирано от metala на 12-06-2018, 01:12


--------------------
PMEmail PosterUsers Website
Top
marquez
Публикувано на: 12-06-2018, 10:36
Quote Post



Име:
Група: Потребител
Ранг: Редовен член

Мнения: 331
Регистриран на: 15.12.07



Okta би трябвало да ти свърши работа.
PMEmail Poster
Top
lucky
Публикувано на: 12-06-2018, 10:37
Quote Post



Име:
Група: Потребител
Ранг: Редовен член

Мнения: 495
Регистриран на: 05.08.17



KeyCloak има ли LDAP? Мисля, че нямаше, но можеше да delegateва към LDAP servers. Иначе според е много як туул за целта. То, ако ти трябва само LDAP, спокойно можеш да минеш и с ApacheDirectoryStudio icon_wink.gif
PMEmail Poster
Top
metala
Публикувано на: 12-06-2018, 13:38
Quote Post



Име: Марин Иванов
Група: Потребител
Ранг: Почетен член

Мнения: 1250
Регистриран на: 20.11.08



QUOTE (marquez @ 12-06-2018, 10:36)
Okta би трябвало да ти свърши работа.

За съжаление, не виждам on-premise инсталация, а аз не съм от най-доверчивите, все пак съм живял в 90те icon_smile.gif

QUOTE (lucky @ 12-06-2018, 10:37)
KeyCloak има ли LDAP? Мисля, че нямаше, но можеше да delegateва към LDAP servers. Иначе според е много як туул за целта. То, ако ти трябва само LDAP, спокойно можеш да минеш и с ApacheDirectoryStudio  icon_wink.gif

Да наистина, оказва се че просто се интегрира към съществуващи директории. Значи май решението е да сложа ApacheDS и ако ми трябват ексти като 2FA, тогава да добавя Keycloak.

Благодаря много.


--------------------
PMEmail PosterUsers Website
Top
gat3way
Публикувано на: 12-06-2018, 21:49
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2558
Регистриран на: 22.06.12



За JIRA-та, може вече да ми се губят спомените де, а може и вече да са се променили нещата, но на една предишна работа правехме много подобно on-premise SSO решение (SAML2/OIDC-базирано). За интеграция с jira-та единствения вариант беше или да се ползва платен плъгин за SSO от на atlassian стора, или съответно да се напише такъв. Out of the box, нямаха някакво API за автентикация с външен IdP.

Обаче не мога да ти препоръчам и въпросното on-premise решение, защото му видяха сметката в полза на услуга, много подобна на okta.

Между другото, оттогава имам алергия към SAML, бах малоумния протокол, теория на сложния процес и всеки умник дето го имплементира като кривне леко от пътя гарантирано създава сеир. Дори да не кривне, напълно с наличните средства лесно стават дивотии. Например google го бяха имплементирали с някакъв нечовешки малък прозорец от време между notonbefore и notafter, достатъчно малък че дори машината ти да си сверява времето най-културно през ntp, рано или късно се случва някоя автентикация да гръмне защото делтата между времената на двата хоста плюс времето за което резолв-ваш гугълския домейн, установяваш SSL връзка до него и му засилваш заявката се оказва достатъчно голямо за да надхвърли позволения времеви прозорец и съответно нема автентикация.
PMEmail Poster
Top
1 потребители преглеждат тази тема в момента (1 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2018 | BG Development | All Rights Reserved
RSS 2.0