是否有人使用OpenAM/OpenDJ/OpenIDM套件而不使用ForgeRock的支持计划？

Question

我们希望实现一个开放源码的身份管理系统，并已经确定ForgeRock的堆栈是实现的最佳技术。

然而，ForgeRock支持的高成本及其按用户定价模式是一个潜在的障碍。我们目前的用户基础是45K，但我们预计在未来两年将增加到100万。

因此，我们正在研究在没有FR支持的情况下进行。FR维护版本的缺乏似乎会对此产生负面影响，所以我们很好奇其他人是否也走了这条路。

1. 你有什么经验？
2. 你做这个项目是为了什么？尺寸等
3. 在没有FR的维护版本的情况下，您是否能够轻松地创建自己的修补程序？
4. 一些潜在的陷阱是什么？

如果有博客或其他社区处理这个话题，请指出他们的总体方向。

谢谢。

Answer 1

作为一个社区用户，在过去6年左右的时间里，我确实使用了OpenAM(/OpenSSO)和OpenDJ，但是这是一个非常小的部署(10k用户--这两个产品中只有一个服务器实例)。

1)在早期阶段，我们确实存在OpenAM的可靠性问题，我们主要通过重新启动服务器实例来解决这个问题--显然不是首选的，但我们实际上并没有花费太多的开发精力来解决这个问题(加上当时缺乏必要的调查知识)。在花了一些实际的努力去学习这个产品之后，我们发现我们的大部分问题要么是自己造成的(糟糕的书面定制，或者是配置错误)，要么是最近在OpenAM项目中解决的问题，并且相对简单地支持我们的版本。

当然，经验本身在很大程度上取决于您希望在部署中进行配置更改的频率，但是，由于多年来我们并没有改变很多事情，OpenAM只是在很长的时间间隔内很好地工作，而不需要任何类型的维护。

3)由于我们并没有真正遇到新的问题(配置几乎没有改变)，过了一段时间就没有太多的惊喜了。这些安全修补程序对backport来说大多很简单，也没有造成太大的麻烦(1，5年后，我成为了FR的雇员，我积极地处理OpenAM问题，这确实有帮助:)

( 4)我认为没有订阅的跑步有其风险，但它们主要涉及：

• 您是否计划在这两年中推出基于OpenAM功能的新特性(也就是说，您是否计划不断地对部署进行更改)？
• 您有优秀的开发人员来处理这些特性吗？例如，使用OpenAM可以很容易地要求您查看源代码来了解事情是如何工作的，但是这些年来文档的质量有了很大的提高。无论如何，随着时间的推移，移植修复将变得越来越困难，因为版本之间的差异会更大(因为每个项目的开发团队越来越大)--即使这样，您也不能仅仅假设您遇到的所有问题都已经在主干中解决了。需要自己解决一些问题，这是你需要考虑的成本/风险。
• 您希望在部署时拥有什么样的SLA？停工1分钟后，你的生意会破产吗？频繁地重新启动服务(以防遇到一些奇怪的问题)是否可以接受？
• 你真的需要支持所有3种产品吗？例如，我的背景允许我在没有OpenAM支持的情况下轻松地工作，但是如果我的供应系统出了什么问题，我会陷入深深的困境。

还有一个一般性的评论：

用户在两年内增长20倍听起来有点不现实，或者至少很有希望。也许你应该寻找的是一年的订阅，为一个更合理的目标数，然后有一个更新，一旦你有一个更好的了解客户增长在您的业务？