BG Development


  Reply to this topicStart new topicStart Poll

> Препоръка за Identity Management OSS
metala
Публикувано на: 12-06-2018, 00:43
Quote Post



Име: Марин Иванов
Група: Потребител
Ранг: Почетен член

Мнения: 1250
Регистриран на: 20.11.08



Търся софтуер който да ми даде възможност за Single Sign-on и Access Control на различни вътрешни услуги (например TeamCity, Grafana, Sentry, JIRA и други).

Накратко:
1. Трябва да има LDAP (било директория или нещо опростено) за SSO и AuthZ
2. Лесно за поддържка и управление (интерфейс)
3. По възможност леко от страна на ресурси.


Спрял съм се на KeyCloak и на второ място на Gluu, които ще ги изтествам тази седмица. Ако имате препоръки или идеи за други или по-прости системи, бих се радвал да чуя мнение по въпроса.
Благодаря.

Това мнение е било редактирано от metala на 12-06-2018, 01:12


--------------------
PMEmail PosterUsers Website
Top
marquez
Публикувано на: 12-06-2018, 10:36
Quote Post



Име:
Група: Потребител
Ранг: Редовен член

Мнения: 332
Регистриран на: 15.12.07



Okta би трябвало да ти свърши работа.
PMEmail Poster
Top
lucky
Публикувано на: 12-06-2018, 10:37
Quote Post



Име:
Група: Потребител
Ранг: Редовен член

Мнения: 529
Регистриран на: 05.08.17



KeyCloak има ли LDAP? Мисля, че нямаше, но можеше да delegateва към LDAP servers. Иначе според е много як туул за целта. То, ако ти трябва само LDAP, спокойно можеш да минеш и с ApacheDirectoryStudio icon_wink.gif
PMEmail Poster
Top
metala
Публикувано на: 12-06-2018, 13:38
Quote Post



Име: Марин Иванов
Група: Потребител
Ранг: Почетен член

Мнения: 1250
Регистриран на: 20.11.08



QUOTE (marquez @ 12-06-2018, 10:36)
Okta би трябвало да ти свърши работа.

За съжаление, не виждам on-premise инсталация, а аз не съм от най-доверчивите, все пак съм живял в 90те icon_smile.gif

QUOTE (lucky @ 12-06-2018, 10:37)
KeyCloak има ли LDAP? Мисля, че нямаше, но можеше да delegateва към LDAP servers. Иначе според е много як туул за целта. То, ако ти трябва само LDAP, спокойно можеш да минеш и с ApacheDirectoryStudio  icon_wink.gif

Да наистина, оказва се че просто се интегрира към съществуващи директории. Значи май решението е да сложа ApacheDS и ако ми трябват ексти като 2FA, тогава да добавя Keycloak.

Благодаря много.


--------------------
PMEmail PosterUsers Website
Top
gat3way
Публикувано на: 12-06-2018, 21:49
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 3116
Регистриран на: 22.06.12



За JIRA-та, може вече да ми се губят спомените де, а може и вече да са се променили нещата, но на една предишна работа правехме много подобно on-premise SSO решение (SAML2/OIDC-базирано). За интеграция с jira-та единствения вариант беше или да се ползва платен плъгин за SSO от на atlassian стора, или съответно да се напише такъв. Out of the box, нямаха някакво API за автентикация с външен IdP.

Обаче не мога да ти препоръчам и въпросното on-premise решение, защото му видяха сметката в полза на услуга, много подобна на okta.

Между другото, оттогава имам алергия към SAML, бах малоумния протокол, теория на сложния процес и всеки умник дето го имплементира като кривне леко от пътя гарантирано създава сеир. Дори да не кривне, напълно с наличните средства лесно стават дивотии. Например google го бяха имплементирали с някакъв нечовешки малък прозорец от време между notonbefore и notafter, достатъчно малък че дори машината ти да си сверява времето най-културно през ntp, рано или късно се случва някоя автентикация да гръмне защото делтата между времената на двата хоста плюс времето за което резолв-ваш гугълския домейн, установяваш SSL връзка до него и му засилваш заявката се оказва достатъчно голямо за да надхвърли позволения времеви прозорец и съответно нема автентикация.
PMEmail Poster
Top
SuN
Публикувано на: 05-08-2018, 14:27
Quote Post


Group Icon
Име:
Група: Администратор
Ранг: Почетен член

Мнения: 6973
Регистриран на: 27.01.05



QUOTE (metala @ 12-06-2018, 00:43)
Спрял съм се на KeyCloak и на второ място на Gluu, които ще ги изтествам тази седмица.

Какви бяха резултатите от тестовете?

Кое се оказа най-просто за ползване?

Сега и аз правя проучване (за дома/шния офис/) и намерих, че Gitlab също предлагат OpenID Connect услуга за идентичност.

Това мнение е било редактирано от SuN на 05-08-2018, 14:27


--------------------
Копирай лесно ударено и - ѝ Ѝ
Замърсяване на въздуха в София - http://aqicn.org/city/bulgaria/sofia/druzhba/
PMEmail Poster
Top
Lachezar
  Публикувано на: 07-08-2018, 11:55
Quote Post



Име: Лъчезар Добрев
Група: Потребител
Ранг: Почетен член

Мнения: 2683
Регистриран на: 10.11.04



QUOTE (SuN @ 05-08-2018, 14:27)
...
Сега и аз правя проучване (за дома/шния офис/) и намерих, че Gitlab също предлагат OpenID Connect услуга за идентичност.


--------------------
И'м ватцхинг ъоу...
PMUsers Website
Top
1 потребители преглеждат тази тема в момента (1 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2018 | BG Development | All Rights Reserved
RSS 2.0