"Cloud native" 替代 LDAP Active Directory 同步?
"Cloud native" replacement for LDAP Active Directory synchronization?
如果您今天要构建企业 SaaS 应用程序,protocol/endpoint 从 Azure AD 部署中获取用户、电子邮件和组列表的首选是什么?
过去,这是通过 LDAP 连接到 Active Directory 域控制器完成的,我看到 Azure 提供了 LDAPS 服务 (Azure AD DS)。
相当普遍的ADFS只是一个兼容SAML的IdP,但它似乎没有提供API来列出用户目录。
Microsoft Graph API 似乎能够提供至少部分此类信息,但它似乎相当新且应用广泛。还有一种叫做 SCIM 的东西似乎有更广泛的支持,但它在企业云应用程序中似乎也不是很流行。
我的研究表明,这个问题的明显正确答案是在产品上实施 SCIM 2.0 APIs。
该方法的主要缺点是 SCIM 2.0 是由目录提供程序触发的协议(即,当需要创建用户或已更新,而不是 SaaS 应用程序联系目录端点以在需要时获取信息)。
这会造成一些麻烦,例如在应用程序进程中间更新用户信息时的潜在竞争条件,或者无法在方便的时间(例如夜间)触发目录更新的事实. Debugging/testing也比较有问题。
如果您今天要构建企业 SaaS 应用程序,protocol/endpoint 从 Azure AD 部署中获取用户、电子邮件和组列表的首选是什么?
过去,这是通过 LDAP 连接到 Active Directory 域控制器完成的,我看到 Azure 提供了 LDAPS 服务 (Azure AD DS)。
相当普遍的ADFS只是一个兼容SAML的IdP,但它似乎没有提供API来列出用户目录。
Microsoft Graph API 似乎能够提供至少部分此类信息,但它似乎相当新且应用广泛。还有一种叫做 SCIM 的东西似乎有更广泛的支持,但它在企业云应用程序中似乎也不是很流行。
我的研究表明,这个问题的明显正确答案是在产品上实施 SCIM 2.0 APIs。
该方法的主要缺点是 SCIM 2.0 是由目录提供程序触发的协议(即,当需要创建用户或已更新,而不是 SaaS 应用程序联系目录端点以在需要时获取信息)。
这会造成一些麻烦,例如在应用程序进程中间更新用户信息时的潜在竞争条件,或者无法在方便的时间(例如夜间)触发目录更新的事实. Debugging/testing也比较有问题。