Permissions 具有外部用户的LDAP/Active Directory_Permissions_Active Directory_Ldap_Openldap_Authentication

Permissions 具有外部用户的LDAP/Active Directory

permissions active-directory ldap authentication

Permissions 具有外部用户的LDAP/Active Directory,permissions,active-directory,ldap,openldap,authentication,Permissions,Active Directory,Ldap,Openldap,Authentication,上下文长期使用Active Directory的公司。以前，管理员将域用户组添加到许多具有读取权限的资源中。改变这一切是不现实的在与另一家公司的合作项目中，引入了一个使用LDAP进行身份验证的服务（在本例中是GitHub:Enterprise实例）问题为外部用户创建广告帐户可以让他们访问许多他们不应该访问的资源。如果我们不为他们创建广告帐户，他们将无法访问新服务有没有一种方法可以为有一些本地用户（外部人员）的广告创建一种“装饰”代理，并引用其他用户（员工）的原始广告数据库还有什么

上下文

长期使用Active Directory的公司。以前，管理员将域用户组添加到许多具有读取权限的资源中。改变这一切是不现实的

在与另一家公司的合作项目中，引入了一个使用LDAP进行身份验证的服务（在本例中是GitHub:Enterprise实例）

问题

为外部用户创建广告帐户可以让他们访问许多他们不应该访问的资源。如果我们不为他们创建广告帐户，他们将无法访问新服务

有没有一种方法可以为有一些本地用户（外部人员）的广告创建一种“装饰”代理，并引用其他用户（员工）的原始广告数据库
还有什么其他方法可以解决访问权限问题

可以使用Windows或Linux设置额外的VM来解决此问题；但是，如果不需要，则更可取。

通常，这将通过SAML联合来完成

或者，您可以使用openLDAP并将所有用户添加到其中，因为这将不允许AD的权限。

但我如何保持密码同步？有一个适当的策略，强制每x天更改一次密码，所以这应该得到反映。如果我们使用OpenLDAP，我怎么能在看不到用户的AD密码的情况下进行同步？我会+1，但不接受这个答案，因为我不明白这将如何解决我的问题。请详细说明。使用SAML，您将永远无法获得“外来者”的密码。SAML将要求“局外人”向您信任的身份提供者进行身份验证。然后用户将被允许访问。使用openLDAP，您将允许“局外人”在openLDAP上注册。凭据不会出现在AD中。同样，还不清楚服务“X”是什么，也不清楚它如何使用LDAP。SAML是一种XML格式。我有一个需要验证的服务器。很抱歉，我看不出XML格式是如何解决问题的。这可能是解决方案的一部分？