集中式身份验证服务器OpenAM与FreeRadius

Question

基本要求是集中对多个SaaS应用程序进行身份验证和授权，以简化开发(每个SaaS应用程序使用最小代码对单个源进行身份验证)，并在必要时提供SSO。身份验证机制必须处理用户可用的下列选项：

1. 使用第三方认证-- Google
2. 使用我们的集中身份验证
3. 使用公司提供的身份验证(ADFS)

在我的研究中，我发现了很多很多方法可以做到这一点，并且发现OpenAM是最完整的解决方案，但是后来我遇到了也可以使用的FreeRadius。

我的问题是：

1. 似乎每个工具都有一个插件，其中一个可以同时使用另一个工具(OpenAM --通过radius服务器进行身份验证)，但是是否有任何用例表明FreeRadius是唯一的身份验证服务器，而不是OpenAM。
2. OpenAM是否要求为服务器安装的web代理--如果我所做的只是提供Restful接口(用Node.js开发)--是否可以在不安装web代理的情况下对用户进行身份验证(Node.js没有web代理)。
3. 我可以从浏览器-> Server (node.js) -> OpenAM传递用户凭据，从而不给用户OpenAM登录屏幕。OpenAM令牌将从OpenAM -> Server ->浏览器(将cookies的起源设置为SaaS的应用程序)传递。也就是说，每个SaaS应用服务器都将充当用户管理的“代理”(身份验证、授权和管理)

谢谢

Answer 1

我很早就开始使用OpenIDM游戏了，但是我正在部署一个基于OpenAM (和OpenIDM+ OpenDJ)的解决方案，以处理您提到的解决方案。

直接回答：

1. 至于将唯一的身份验证交给FreeRadius，我不明白为什么要这样做，但任何事情都是可能的。鉴于您提到了多个目录(身份源- google、ADFS和集中式身份验证)，我认为将OpenAM连接起来以提供RADIUS身份验证(即OpenAM RADIUS钩子，而不是FreeRadius)是有意义的。
2. 不，网络代理不需要应用，但它可能是有意义的。有一些需要帮助的node.js片段(https://github.com/alesium/node-openam)。您只需要从服务器到OpenAM端(REST)进行交谈，这应该很好。
3. 您可以这样做，也可以只需剥掉OpenAM登录屏幕，使其看起来像您自己的。我建议使用后者，因为您现在依赖OpenAM作为登录屏幕的安全性。如果你做的是一个纯粹的代理，那么你就承担了这个负担。你的要求显然是设计上的决定。

祝好运!

Answer 2

你在比较RADIUS服务器和Web解决方案..。我不确定这是否有意义。

FreeRadius似乎没有那么多“Auth后端”(比如Oauth来利用Google )

Answer 3

我自己也在为类似的需求寻找解决方案，但我也希望整合2FA。我见过这么多不同的解决方案，但还没有找到最好的解决方案。到目前为止，我想出的是：

1. RCDev OpenID似乎相当全面，对于用户不足40的情况，它是免费的。
2. 绿色火箭的GreenRADIUS是昂贵的，但他们有插件的每一种情况，它可以工作。
3. 红帽的KeyCloak可以与TACACS+或FreeRADIUS结合使用来完成这一任务。