云应用程序和PHP/LDAP连接的安全性

我正在开发一个企业云应用程序，并正在解决使用PHP LDAP库连接到客户网络以检索用户对象时将面临的安全问题

首先，我的客户将不得不向我的Web服务器开放他们的网络，这对许多人来说是一个巨大的安全风险。大多数人甚至拒绝创建防火墙规则，只允许从我的公共IP进行LDAP查询

其次，连接必须始终保持可用，以便我的应用程序能够轮询和检测新的、禁用的和删除的用户对象。这进一步增加了我的客户的风险因素

第三个问题是确保我只收到客户机广告服务器的读取权限-如何确保我的客户机不会意外地授予我们对其广告的写入权限？我可以使用PHP查询提供的域帐户的权限吗？如果包含write，我可以拒绝接受/存储凭据吗

有谁有更好的建议吗？我可以在我的终端建立一个API来监听和接受来自我的客户端可以托管的脚本的指令，但这是一个麻烦-当然可以解决安全问题

连接到LDAP服务器的方法有很多，但关于从公用网络上的服务器与专用网络中的LDAP服务器同步的最佳方法的文章并不多

急需的建议：）

---

谢谢大家!

有太多的vauge语句，但这里是一个尝试

第三个问题是确保我只收到客户的阅读权限 广告服务器-如何确保我的客户不会意外提供 我们可以访问他们的广告吗？我可以用PHP查询权限吗 提供的域帐户的名称，如果包含写入，则拒绝 是否接受/存储凭据

当然，为什么不呢。但您可能有权进入，但其他人无权进入

有谁有更好的建议吗

---

我甚至无法想象通过互联网访问任何大型组织。即使它作为API是安全的。您确实需要像OAuth或OpenID Connect这样的API接口。

您希望通过访问LDAP实现什么？这是一个“简单”的身份验证吗？或者，您是否需要偶尔进行一些也可以缓存在您身边的查找？或者，是否有必要执行时间关键的复杂查找？第一：使用OAuth。第二：缓存LDAP的内容-可能通过客户端的推送，第三：您需要访问LDAP。仅通过LDAPS和客户端适当的防火墙规则进行访问，以允许仅从您的IP地址进行访问。我显然有一个金发女郎的时刻，并没有考虑将我的应用程序与身份验证API集成。。。还不如把“踢我”放在我背上！谢谢