云应用程序和 PHP/LDAP 连接的安全性

Security with cloud applications and PHP/LDAP connections

我正在开发一个企业云应用程序,并且正在解决在使用 PHP LDAP 库连接到客户网络以检索用户对象时我将面临的安全问题。

首先,我的客户必须向我的网络服务器开放他们的网络,这对许多人来说是一个巨大的安全风险。大多数人甚至会拒绝创建仅允许来自我的 public IP 的 LDAP 查询的防火墙规则。

其次,连接必须始终保持可用,以便我的应用程序可以轮询和检测新的、禁用的和删除的用户对象。这进一步增加了我客户的风险因素。

第三个问题是确保我只获得对我的客户 AD 服务器的读取权限 - 我如何确保我的客户不会意外地向我们授予对其 AD 的写入权限?我可以使用 PHP 查询提供的域帐户的权限,如果包含写入,则拒绝 accept/store 凭据?

有没有人有更好的建议?我可以在我这边建立一个 API 来监听和接受来自我的客户可以托管的脚本的指令,但这很麻烦 - 虽然肯定会解决安全问题。

连接到 LDAP 服务器的方法有很多,但关于从 public 网络上的服务器与专用网络中的 LDAP 服务器同步的最佳方法的文章并不多。

迫切需要建议:)

谢谢!

过多的 vauge 语句,但这里是一个尝试。

The third issue is ensuring I only receive read rights to my clients AD server - how can I ensure that my clients do not accidentally give us write access to their AD? Can I, with PHP, query the permissions of the domain account provided and, if write is included, refuse to accept/store the credentials?

当然可以,为什么不呢。但是您可能拥有您的参赛作品的权利,但其他人没有。

Does anyone have any better suggestions?

我什至无法想象通过 Internet 访问任何(当然不是大型)组织的 LDAP。即使它作为 API 是安全的。您确实需要一个 API 界面,例如 OAuth 或 OpenID Connect。