由3名联邦国内流离失所者组成的链

Question

我的客户有5种不同的身份和访问管理解决方案。到目前为止，他们一直要求各自的供应商在IAM解决方案中增加5个受信任方，实现触发SSO等的不同URL。现在建议在公司的IAM和供应商之间引入一个新的组件，以便有一个单一的点来管理日志和减少供应商的工作量。

技术上是否有可能实现它，例如使用ADFS或Azure AD？过去是否有人实施了3名国内流离失所者的连锁计划？

Answer 1

我看到了一种类似的模式--通过创建一个单一的“外部可见”的IDP，实现了一种类似的模式--通过创建一个“外部可见的”IDP，许多用户“居住”的IAM解决方案被映射到了外部供应商(在本例中，是一个基于Salesforce的应用程序)。

这种方法的优点有几个：

1. 最大的一点是，外部供应商更易于配置和维护，因为他们不需要添加"n“外部国内流离失所者(如果他们支持为给定的客户/租户拥有多个国内流离失所者！)
2. 供应商提供的服务的安全性得到了增强，因为配置/验证只有一个点(vs有5个“对等”信任源，可以打开5倍潜在的攻击面)
3. “源”IAM系统不必在外部公开，因为只创建了一个“可见的”IDP
4. “桥梁”IDP/IAM解决方案可以应用转换并强制执行向外部供应商公开的一致声明和属性集，而无需重新配置源系统。这使得可以更容易地采用供应商中的更改，或者供应商联盟配置中的不同需求。
5. 您还可以进行协议转换。在我熟悉的情况下，左边的内部IAM系统使用SAML和OIDC的混合，而传出的联邦则使用OIDC。
6. 针对此实现(但不是严格需要)，“新IAM”解决方案包括一个用户存储库，并为“源”IAM系统中的用户创建了每个“真实”用户的统一/集中标识；给定的活动用户可以在不同的源IAM中拥有不同的帐户，目标是确保外部可见的帐户是相同的，无论用户是如何登录的--在内部.

其工作方式是，“新IAM”解决方案被配置为作为左手“源”IAM系统的SP，充当国内流离失所者。验证了“传入”联合请求，检查了NewIAM堆栈中配置的用于访问和转换的特定策略，如果所有匹配，则将用户重定向到外部供应商。外部供应商被配置为查询"New“解决方案，在这种情况下，该解决方案充当IDP。

听起来有点复杂，但实际上比听起来简单.该系统运行良好，协调了5M用户，并期待着更大的增长。

希望这能帮上忙！