SSO mit PHP

[djdf]

Hallo,

für mich/uns ist nachfolgendes Thema komplettes Neuland und ich würde mich über ein paar richtungsweisende Tipps freuen.

Wir betreiben ein kleines Online-Tool, welches als SaaS-Angebot von verschiedenen Kunden genutzt wird. Das Tool ist eine Eigenentwicklung und läuft auf PHP und Nginx unter Linux. Die Nutzung erfolgt klassisch per Nutzername und Passwort. Unsere Kunden haben nun gehäuft den Wunsch geäußert, dass sie gern mit Single Sign On arbeiten wollen, weil sie ja schon ein Active Directory haben.

Ich würde zuerst einmal verstehen wollen, ob es überhaupt möglich ist, dass wir als Drittanbieter überhaupt die verschiedenen ADs der Kunden (hat ja jeder Kunde sein eigenes AD) ansprechen können. Konkret: Was ist also zu tun, damit sich Kunden mit ihren AD-Accounts an unserem Produkt anmelden können? Hat da jemand ein paar hilfreiche Weblinks, wo ich mich belesen kann?

VG

 

[madmax2010]

Geht. Ein beispielhafter Baustein:
https://simplesamlphp.org/
Wenn es eine zentrale Rechteverwaltung gibt, dann lässt sich sso auch realisieren.

Ich verstehe das richtig, oder?
Ihr seid ein Profit orientiertes, privates Unternehmen, dass kostenfreien Support von freiwilligen haben will?

Ich empfehle, einen Dienstleister mit den entsprechenden Fähigkeiten dazu zu hole. der kann sich dann auch die Umgebungen der Kunden, die euch ja auch für eure Dienstleistung bezahlen, ansehen. Muss halt ggf jeweils individuell angepasst werden.

Schau dir auch mal greenlight (bbb frontend) an. Super sso

 

[tomgit]

Wenn eure Kunden ohnehin Azure AD nutzen, könnt ihr eure Applikation auch darin integrieren und das als Identity Manager benutzen.

Google wirft da (bei richtigen Eingaben) genügend Infos zu raus.

 

[djdf]

Ich verstehe das richtig, oder?
Ihr seid ein Profit orientiertes, privates Unternehmen, dass kostenfreien Support von freiwilligen haben will?

Dein Beitrag in allen Ehren, danke dafür, aber habe ich gesagt, "liebe Community, bitte programmiert das für mich"? Nein, ich habe nach nützlichen Links gefragt, unter denen ich mich zu dem konkreten Thema einlesen kann.

 

[floq0r]

Das ist ja bereits Support Probier das mal bei einem Dienstleister gratis zu bekommen.

 

[Micke]

Ich verstehe das richtig, oder?
Ihr seid ein Profit orientiertes, privates Unternehmen, dass kostenfreien Support von freiwilligen haben will?

Weshalb der Vorwurf ? Viele Fragen hier im Forum haben einen professionellen Hintergrund.
Ansonsten ist es doch immer - kostenfreier Support von freiwillgen, nicht ?

 

[Iqra]

Man kann da sicher eine Plattform bereit stellen, müßte das aber in den tenant Kontext setzen.

AD ist LDAP plus Kerberos, mit kdc gleich LDAP Server in Form des Domain Controllers.

Wenn’s tatsächlich darum geht, dass die Kunden sich bei euch authentifizieren, dann wird’s schwierig, da die dc Anmeldung eine Vertrauens Basis darstellt zwischen AD user der Kunden und eurem Kunden… und nicht zwischen eurem Kunden und euch.

Man KÖNNTE Kerberos einrichten und mit Delegationen arbeiten, oder evtl auch mit Zertifikaten auf den DC der Kunden, die dann für euch als Clients zählen.

Wenn’s nix mit euch zu tun hat, sondern nur Sache der tenants bleiben soll: die Kunden einen DC Konfigurieren lassen und darüber dann LDAP und Kerberos anbinden.