有没有人在没有使用 ForgeRock 的支持计划的情况下使用 OpenAM/OpenDJ/OpenIDM 套件?

Has anyone used OpenAM/OpenDJ/OpenIDM suite without using ForgeRock's Support plans?

我们正在寻求实施开源身份管理系统,并已将 ForgeRock 的堆栈确定为最佳实施技术。

然而,ForgeRock 支持及其按用户定价模型的高成本是一个潜在的障碍。我们目前的用户群约为 45K,但我们预计在未来 2 年内将增加到 100 万。

因此,我们正在研究在没有 FR 支持的情况下继续进行的情况。缺少 FR 维护版本似乎会阻碍这一点,所以我们很好奇其他人是否已经走上了这条路。

  1. 你的经历如何?
  2. 你做过什么样的项目?尺码等
  3. 在没有 FR 的维护版本的情况下,您是否能够轻松创建自己的补丁?
  4. 有哪些潜在的陷阱?

如果有处理此主题的博客或其他社区,请指出他们的大致方向。

谢谢。

作为社区用户,我在过去 6 年左右的时间里确实使用过 OpenAM(/OpenSSO) 和 OpenDJ,但这是一个非常小的部署(10k 用户只有两个产品的 1 个服务器实例)。

1) 在早期阶段,我们确实遇到了 OpenAM 的可靠性问题,我们主要通过重启服务器实例来解决这个问题——显然这不是首选,但我们并没有真正花费太多的开发精力来实际尝试解决它(加上当时缺乏必要的调查知识)。在花费一些实际努力尝试学习产品后,结果证明我们的大部分问题要么是我们自己造成的(自定义编写不当或配置错误),要么实际上是最近在 OpenAM 项目中解决的问题并且相对简单向后移植到我们的版本。

当然,体验本身在很大程度上取决于您希望在部署中更改配置的频率,因为多年来我们没有改变很多东西,OpenAM 只是在很长一段时间内运行良好,不需要任何一种维护。

3) 因为我们并没有真正 运行 进入新问题(配置几乎没有改变),所以一段时间后并没有太多惊喜。安全补丁大多很容易向后移植,并没有造成太大的麻烦(这确实帮助了我在 1.5 年后成为一名 FR 员工,并且我积极致力于 OpenAM 问题 :))

4) 我认为运行不订阅有其风险,但它们主要涉及:

  • 您是否计划在那 2 年内推出基于 OpenAM 功能的新功能(即您是否计划不断更改部署)?
  • 你们有好的 开发人员来处理这些功能吗?例如,使用 OpenAM 可以很容易地要求您查看源代码以弄清楚它是如何工作的,尽管这些年来文档的质量已经有了很大的提高。无论如何,随着时间的推移,向后移植修复将变得越来越困难,因为版本将有很大差异(因为每个项目的开发团队越来越大)——即使那样你也不能假设所有的根据定义,您 运行 遇到的问题已在 t运行k 中解决。 cost/risk 您需要考虑自己解决一些问题。
  • 您希望您的部署具有哪种 SLA?停电 1 分钟后您的企业会破产吗?经常重启服务是否可以接受(以防你 运行 遇到一些奇怪的问题)?
  • 您真的需要支持所有 3 种产品吗?例如,我的背景可以让我在没有 OpenAM 支持的情况下轻松工作,但如果我的供应系统出现问题,我将陷入困境......

还有一条通用的评论:

两年内用户增长 20 倍听起来有点不现实,或者至少很有希望。也许您应该寻找更合理的目标数量的 1 年订阅,然后在您更好地了解您的业务中的客户增长后续订?