Authentication LDAP用于应用程序访问控制，它应该控制多少？

一个先兆：我现在在两个环境中工作，在这方面有着相互冲突的原则。我概述了相互竞争的想法，并想知道在所描述的场景中哪个是“正确的”

场景：我们的intranet上存在多个应用程序。我们正在使用LDAP作为身份验证控件和用户目录来实现OpenSSO。要解决的问题是，使用LDAP身份验证，我们知道允许用户在intranet上访问，但对哪些应用程序存在疑问

我们打算使用LDAP控制每个用户可以访问的应用程序，即帮助台、顾问审查、报告生成器、调查创建者等

问题在于，在每个应用程序中都有大量的角色，而且人们可能有多个角色

---

解决第二个问题的最佳方法是什么？所有角色都应该在ldap中还是只在应用程序中，每个应用程序数据库都包含更细粒度的角色？

一种方法是使用ldap来维护相对高级的角色信息，但将非常详细的特定于应用程序的信息保留在每个应用程序内部

例如，个人可能是LDAP组（角色）的成员，如“员工”、“服务台助理”、“服务台主管”等，然后各个应用程序将高级角色映射到特定于应用程序的功能中。特定的高级角色可能意味着可以访问多个应用程序，不同的角色具有不同的访问级别

例如，“帮助台助理”可能可以创建记录单，但可能只有主管可以删除记录单或运行报告

---

这是一个没有正确答案的领域。将所有内容集中在LDAP中可以更好地报告/审核个人的访问，但代价是使用大量特定于应用程序的数据使中央LDAP模式复杂化。此外，根据您尝试集成的现有/商业应用程序的不同，这些应用程序可能不支持从LDAP提取所有细粒度访问信息。

感谢您的输入，这与我本人遵循的基本相同，我只是想确保这是合理的推理。我在这方面遇到了一些阻力（我展望未来两年，我们可能会有100个应用程序，而现在我们只有5个），因为人们没有意识到，如果我们在其中投入太多，最终可能会出现复杂的ldap树：）。