云应用和单点登录(AD集成)

Question

我一直在调查一些云供应商以及与他们实现单点登录的能力，特别是在AD (Active Directory)集成方面。

到目前为止，我了解到有了Azure，这可以通过ADFS和AppFabric访问控制服务来实现。

在亚马逊网络服务中，由于可以创建虚拟专用网络并将EC2实例视为私有数据中心的自然扩展，因此我相信实现单点登录将相当简单(不确定我在这一点上是否正确……如果我错了，请纠正我)。

使用App Engine，尽管有一些关于Google Apps的AD同步(不是完全集成)的文档，但我很难找出AD集成是否可能……对此有什么策略吗？

任何有关云应用程序和AD集成的信息都将不胜感激！

Answer 1

App engine应用程序只能使用HTTP或HTTPS调用其他服务，因此您无法直接查询AD服务器。当然，如果还不存在HTTP/LDAP桥，我相信您可以构建一个简单的HTTP/LDAP桥。更新:糟糕，我忘记了SDC或Secure Data Connector。它不是一个确切的HTTP/LDAP桥，但可以在您的内部网和Google app Engine应用程序之间提供一座桥梁。

Answer 2

通常，您不需要在应用程序(在本例中，在GAE中运行)和AD之间进行通信。

相反，您将从和STS (ADFS)获取安全令牌，然后将令牌发送到将配置为接受和信任这些令牌的应用程序。

我不熟悉GAE，但假设它接受SAML令牌并理解WS-Federation，您可以在不公开AD或在AD和GAE之间同步任何信息的情况下实现SSO (例如，使用ADFS )

这是一个典型的身份联合场景。