如何将这三种环境与SSO连接?
在我今天的组织中,我们使用以下内容:
- W2K8 R2 – 活动目录
- Google Apps for Enterprise
- Salesforce Enterprise版本
其中每个都具有SSO连接的能力。 我想连接他们,所以我的用户将有一个单一的密码,而不是3记住(我敦促他们每个月更换所有3个 – 他们不听 – 我这样做)。
什么应该是正确的程序? 最简单的?
- Google Apps支持 – SAML,通过OpenID和第三方OAuth进行联合login。 – 我可以使用他们的Google目录同步function将我的网域同步到Google服务。
-
Salesforce支持以下function
- 密码保护远程访问
- 保护GoDaddy共享主机帐户托pipe多个站点
- 修复显示系统pathMagento get.php的致命错误情况
- Ubuntu,如果父目录受保护,如何防止列表子目录
- 如何从连接到我的电脑的远程IP地址开始连接到已打开连接的进程?
- Active Directory在哪里适合图片?
我的问题是SF安全在哪里适合? 谁应该是代表/联邦实体? 我应该找第三方吗? (我认为这只会增加复杂性 – 不是吗?)
注意:我不是在这里寻找一步一步的。 我无法确定哪个实体将在SSO身份validation过程中占据什么位置。
我build议使用SAML向Google Apps和Salesforce.com提供SSO。 这些将在SAML联邦模型的“服务提供者”angular色中起作用。 一旦Google Apps和SF.comconfiguration完成,试图直接访问其中一个(例如,通过书签或电子邮件URL)的用户将被redirect到“身份提供者”。 IdP负责与用户交互以validation他们的身份。 IdP将被configuration为使用Active Directory作为用户存储库 – 这是唯一需要pipe理用户密码的地方。 然后,IdP会将用户发送回SP,其中包含有关用户的身份声明的SAML响应。 SPvalidation响应的真实性,然后使用声明将AD用户映射到相应的Google Apps或SF.com帐户。
顺便说一下,我们在内部使用这个确切的模型,将我们的PortalGuard产品用作Google Apps和SF.com的IdP。 您也可以使用ADFS,OpenAM或Ping作为此angular色,但是PortalGuard还提供了其他function,例如双因素/更强的身份validation,自助式密码pipe理和密码同步。
唯一需要注意的是,您至less需要SF.com的企业版支持SP启动的SSO(用户首先访问SF)。 Google Apps支持SP启动的SSO。