集中验证服务器OpenAM与FreeRadius

问题描述 投票:3回答:3

基本要求是集中多个SaaS应用程序的身份验证和授权,以简化开发(每个SaaS应用程序使用最少的代码对单个源进行身份验证),并在必要时提供SSO。身份验证机制必须处理用户可用的以下选项:

  1. 使用第三方身份验证 - Google
  2. 使用我们的集中身份验
  3. 使用公司提供的身份验证(ADFS)

在我的研究中,我发现可以做很多很多方法,并且发现OpenAM是最完整的解决方案,但后来我遇到了FreeRadius,它也可以使用。

我的问题是:

  1. 似乎每个工具都有一个插件,可以同时使用另一个(OpenAM - 对半径服务器进行身份验证),但是有任何用例,FreeRadius将优先作为OpenAM上的SOLE身份验证服务器。
  2. OpenAM是否要求为服务器安装Web代理 - 如果我所做的只是提供Restful接口(在Node.js中开发) - 是否可以在不安装Web代理的情况下对用户进行身份验证(Node没有Web代理。 JS)。
  3. 我可以从浏览器 - >服务器(node.js) - > OpenAM传递用户凭据,从而不向用户提供OpenAM登录屏幕。 OpenAM令牌将从OpenAM - >服务器 - >浏览器传递(将cookie的来源设置为SaaS的应用程序。即每个SaaS应用程序服务器将充当用户管理的“代理”(进行身份验证,授权和管理)。更新|删除]用户)

谢谢

restful-authentication openam freeradius
3个回答
1
投票

我很早就参加了Open Identity Stack游戏,但我正在部署基于OpenAM(和OpenIDM + OpenDJ)的解决方案来处理你提到的解决方案。

直接答案:

  1. 至于将单一身份验证交给FreeRadius,我不明白为什么你会想要,但一切皆有可能。鉴于您提到了多个目录(身份来源 - 谷歌,ADFS和您的集中身份验证),我认为连接OpenAM以提供RADIUS身份验证(即OpenAM RADIUS挂钩,而不是FreeRadius)是有意义的。
  2. 不,不需要应用Web代理,但它可能有意义。有一些node.js要帮助(https://github.com/alesium/node-openam)。您只需要从服务器到OpenAM端(REST)进行通信,这应该是好的。
  3. 您可以这样做,或者您可以将OpenAM登录屏幕设置为您自己的样子。我建议后者,因为你依靠OpenAM来登录屏幕安全性。如果你正在做一个纯粹的代理,那么你就要承担这个负担。你的电话显然是一个设计决定。

祝好运!

0
投票

您正在将RADIUS服务器与Web SSO解决方案进行比较......我不确定这是否有意义。

似乎FreeRadius没有那么多'auth后端'(就像Oauth利用Google Auth)

0
投票

我自己正在寻找类似要求的解决方案,但我也希望整合2FA。我已经看到了很多不同的解决方案,但尚未确定最好的解决方案。这是我到目前为止提出的:

  1. RCDev OpenID似乎非常全面,对于少于40个用户的情况它是免费的。
  2. 绿色火箭的GreenRADIUS价格昂贵,但它们可以为每种情况提供插件,并且它可以工作。
  3. Red Hat的KeyCloak可以与TACACS +或FreeRADIUS结合使用来实现这一目标
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.