Синхронизация пользователей веб-приложения с корпоративным каталогом / базой данных

Мы создаем веб-приложение, ориентированное на корпорации; и нам необходимо поддерживать актуальное хранилище пользовательских данных для всех корпоративных пользователей нашего веб-приложения. Мы хорошо знаем, как добиться федеративной аутентификации, однако нам также необходимо поддерживать локальный репозиторий метаданных о пользователе (отдел мысли, должность, уровень и т. Д.), А также знать жизненный цикл пользователей (т. Е. если кто-то покинул компанию и т. д.), т. е. нам нужно решить вопрос с обеспечением.

Каковы наилучшие способы обеспечить синхронизацию нашего пользовательского репозитория с произвольными репозиториями компании (например, обычно LDAP, такими как AD или аналогичные)?

Несколько подходов, которые мы рассмотрели:

• Настройка запроса LDAP "тянуть" из нашего веб-приложения; который регулярно опрашивает данные пользователя. Очевидно, что это может привести к большому количеству ненужных перетасовок данных (когда ничего не изменилось), потребовать от LDAP-сервера, работающего извне (через Интернет), от компании, которая не идеальна в плане безопасности.
• Запрашивать у наших клиентов механизм синхронизации LDAP на их серверах LDAP (например, устанавливать агент, который передает нам изменения) - не идеально, так как для этого требуются установленные компоненты и обслуживание.
• Создайте поддержку общих (?) Протоколов для обеспечения пользователей и подключитесь к некоторому решению для управления идентификацией предприятия (например, SCIM, SPML). Что на самом деле используется сегодня?

Любые советы / лучшие практики?