Как добавить мои учетные записи приложений Google в службу федерации Active Directory?

Question

Как добавить мои учетные записи приложений Google в службу федерации Active Directory?

Примечание. Существует много дискуссий о синхронизации учетных записей приложений Google с Active Directory. Это другой вопрос -

Я хотел бы, чтобы мои пользователи (около 10) в приложении Google входили в мои локальные веб-приложения, например, gitlab / gerrit / jenkins, используя свою учетную запись приложения Google через SSO.

Кроме того, я хотел бы, чтобы они входили на свои локальные Linux-машины с одинаковыми идентификаторами через Active Directory.

Поэтому, войдя на свой компьютер, они смогут получить доступ ко всем локальным веб-приложениям, настроенным для использования приложений Google и других приложений Google (gmail / диск), без каких-либо других входов в систему.

Это возможно? как?

0

ubuntu active-directory g-suite single-sign-on gerrit

Источник

Gautam 05 май '16 в 06:01

1 ответ

Другие вопросы по тегам ubuntu active-directory g-suite single-sign-on gerrit

Sum1sAdmin 05 май '16 в 09:14 2016-05-05 09:14 · Answer 1 · 2016-05-05 09:14

Это смесь SLO и SSO - аспекты единого входа являются общими и могут быть настроены разными способами, они будут полагаться на протокол LDAP, так как ваши клиенты Linux будут находиться в вашей частной сети и будут настроены для отправки аутентификации запросы к контроллеру домена - это относится к единому входу в систему, существует множество ресурсов, посвященных развертыванию, настройке и управлению такого рода настройками.

второй сценарий охватывает единый вход, проверка подлинности происходит в вашем домене, а авторизация происходит в другом, это достигается путем установки поставщика удостоверений или подписки на предложение SAS онлайн-службы, которое обеспечивает поддержку единого входа в протоколы.

В вашем вопросе упоминаются службы федерации активных каталогов. Если у вас это есть в домене, то вы можете поддерживать следующие протоколы: Язык разметки утверждений безопасности (SAML) Протокол облегченного доступа к каталогам (WIF) Windows Identity Federation (WIF) OpenIDConnect (OIDC). Вы можете интегрировать тикет Kerberos и добиться истинного единого входа.

вы можете добиться того, что вы пытаетесь с OIDC, и вы должны попытаться придерживаться одного протокола федерации - потому что вход в службу с SAML без автоматического входа в службу, которая зависит от OIDC.

Приложения Google используют протокол OIDC, но неясно, является ли ваш поставщик удостоверений ADFS или Google.