LDAP适用于外部用户吗？

Question

LDAP通常用于配置企业用户。它充当集中式用户存储。易于与具有SCIM API的SaaS集成。

但它是一个好主意，使用LDAP为外部用户，如果我们要实现单个数据存储用于身份验证的单点登录的目的上，并在多个网站易于用户提供而是由同一组织所提供。

所有关于LDAP和SCIM的描述建议用例的SaaS集成到内部用户数据库或多个企业内部网应用。

如果没有，那么基于标准的方法是什么？挑战是什么？

Answer 1

LDAP是存储任何类型用户或设备的身份信息的理想选择。比大多数关系数据库和现代LDAP服务器更快实现可以扩展到非常大的容量。

对于单点登录目的，LDAP不提供任何帮助。 SAML或OpenID Connect将成为SSO的“当前最佳实践”。

SCIM 2.0将针对LDAP是执行CRUD操作的身份信息存储使用性能优异。

来自通用请求的挑战超出了stackoverflow的范围。

一个关于ID连接伟大的事情是它抽象的身份验证，然后再SCIM也抽象的CRUD操作，使后端无所谓。

询问具体问题将获得最佳结果。

Answer 2

作为一名顾问，我发现越来越多的大型企业开始采用业界流行词 - 客户身份和访问管理（CIAM）。这些大型组织的要素之一是管理外部用户（如果您愿意，还可以使用身份）。这些组织正在使用基于LDAP的用户目录来存储身份信息。这些体系结构确实分别为用户供应和联合使用SCIM，SAML和OIDC标准。在我们的咨询中，我们已经看到许多用于此目的的不同LDAP服务器，包括活动目录，AD-LDS，OpenLDAP，CA-LDAP，PingDirectory等。选择LDAP的关键是规模和性能参数，所以在做出选择时对于该技术，一定要询问存储库大小和压缩，索引速度和技术实现，底层数据管理和数据同步。

至于上面这个无耻的插件，我熟悉PingDirectory（以前称为UnboundID），这是一个很好的缩放和性能产品，因为它内置了一些功能，可以很好地扩展。事实上，它源自电信行业，数以千万计的用户使用这些产品。作为您的分析的一部分，以确定哪种技术最适合您的用例，我会查看该产品。