Я пытаюсь понять концепции SSO и то, как они подходят к моей ситуации, и я дошел до того, что немного застрял. Предполагая, что мы используем что-то вроде Azure AD, или Ping Identity, или что-то в этом роде, мы хотим включить социальный вход (учетная запись google/facebook и т. д.) — все в порядке. Я постоянно застреваю на том, как мне контролировать претензии, связанные с этой личностью?
Обзор процесса (в моей голове): - Пользователь входит в систему с учетной записью google (facebook и т. д.), они связывают учетную запись google со своей «устаревшей» учетной записью (т. е. связывают свой социальный логин со своим внутренним идентификатором, который мы, как компания, идентифицируем их как ) то, что это за процесс, не имеет значения для этого обсуждения (я не думаю).
Теперь, когда пользователь входит в систему со своей социальной учетной записью, как мне выполнить поиск этого сопоставления с его внутренним идентификатором, чтобы добавить его в качестве претензии, и добавить связанную другую заявку для этого пользователя на основе информации, которую моя организация знает о них (например, Если им больше 21 года, какой у них «уровень» участника и т. д.).
Я понимаю, что если бы у нас была одна RP, использующая SSO, она, поскольку RP, могла бы выполнять эту логику, но у нас есть ситуация, когда у нас есть несколько внутренних (и потенциально управляемых извне) систем (в настоящее время 4-5), которые мы хотим связать вместе с помощью SSO. - которые будут опираться на эти заявки на доступ/персонализацию и т.д.
Самое близкое, что я видел к этому, — это концепция RP-STS, которая эффективно из того, что я мог бы выработать, сидела перед Ping / AZ AD, чтобы стать частью цепочки, чтобы она могла выполнять внутренний поиск и добавлять дополнительные требования по мере необходимости - имеет ли это смысл как концепция? Это правильный подход?
Я уверен, что это не может быть необычным, но я не могу найти хороший пример/документацию по полной интеграции (много только AZ AD/Ping и т. д.), которые нам нужны. Должны ли быть готовые продукты, которые могут это сделать? (Нам действительно не нужна пользовательская реализация/компоненты SSO, если это возможно)