Active directory 支持使用Active Directory进行单点登录

我们有一个写在.NET上的SaaS应用程序，我们需要向客户提供各种SSO方法

不久前，我们对OpenID进行了标准化，希望这将成为一个通用标准，并使我们不必支持不同的标准。不幸的是，企业从来没有完全使用OpenID，我们总是被要求支持Active Directory。（我们的应用程序只需要基本身份验证，而不是使用不同对象/权限等的细粒度授权。）

---

我们希望避免大量额外的开发--如果我们想为最多的Windows a.D.用户提供简单的集成，我们应该支持哪一种--LDAP还是SAML？如果您想快速直接地寻址，那么使用SAML、1.x或2.x？

Active Directory LDAP是最短的方式

但对我来说，LDAP和SAML涵盖的范围不同

一方面，LDAP是一种开放协议，允许您直接访问身份验证服务器。您可以独立于LDAP目录

---

另一方面，我认为如果您服务的用户能够在他们的公司进行身份验证，SAML允许您与这些公司建立信任关系，并避免管理用户/密码。对于部署Active Directory的客户端，让我们看看LDAP和SAML对SSO的支持之间的巨大差异。我可以想象，几乎所有您拥有的企业客户都不会喜欢您直接向其包含所有用户数据的AD/LDAP存储打开防火墙端口。他们更有可能拥有某种基于SAML的解决方案，提供更安全的SSO解决方案。公司也开始禁止员工在非公司托管的登录表单中输入公司用户信用（有助于减少网络钓鱼）

既然您已经是一个SaaS，为什么不使用一个为您的应用程序提供SAML支持的服务呢？退房[注意：我为Ping工作]无需安装，只需对应用程序中的验证逻辑进行一些小的代码更改。如果您真的想要一个内部SAML解决方案，那么有150多家SaaS提供商使用我们的PingFederate软件为其客户提供SAML 1.0/1.1/2.0/WS-Fed协议支持

---

HTH-Ian

您可以使用SAML2、OpenID或被动STS支持为Active Directory中的用户群启用SSO。具有多协议支持非常重要，因为不同的应用程序能够支持不同的协议。例如，Google Apps、Salesforce支持SAML2，而LifeRay、Drupal支持OpenID

免责声明：我是WSO2的建筑师

开源可以部署在active directory上[只是一个配置]，它会自动为AD中的所有用户提供一个OpenID

此外，身份服务器还可以用作SAML2 IdP、OpenID提供程序或被动IdP

特别是在为SharePoint用户提供SSO时，您可能需要使用被动测试

您可以从中看到WSO2 Identity Server的云部署

---

如果您的关注点来自服务提供商端，那么最好有SAML2以及OpenID支持…

我同意您的看法，就Saas而言，SAML将是解决方案。但是，当您“想象一下，您拥有的几乎所有企业客户都不会喜欢您直接向他们的AD/LDAP存储区打开一个防火墙端口，其中包含他们的所有用户数据”时，您就不那么正确了。对于一家公司来说，现在拥有一个在DMZ中存储目录（OpenLDAP或ADAM/LDS）的解决方案并不是那么困难，它可以通过LDAP自动访问，并从MetaDirectory配置部分用户，甚至可以完成。好吧，这是一种旧的方式，但是LDAP在任何语言中都很容易实现。我不相信我曾经说过或暗示过打开FW端口不容易。我的意思是，这不是一个安全最佳实践，也不像一个正确实现的基于标准的SSO解决方案那样安全。然而，正如你所说，今天就完成了。