多くの大企業はすでにActiveDirectoryなどの堅牢なディレクトリサービスを利用しており、アプリケーション固有のストアでユーザーを絶えず複製するのはばかげているように思われます。
ユーザーストアを複製する必要がある場合でも、ActiveDirectoryに対して認証するメカニズムを提供できます。または、SAMLを活用する標準ベースのSSOメカニズムをサポートすることもできます。
XACMLプロトコルのサポート。役割と資格に関する情報を複製することも同様に陰湿です。
SPMLプロトコルのサポート。多くの企業はID管理ツールキットを活用しており、集中管理とプロビジョニングの観点から、少なくともすぐに使用できる統合を望んでいます。
では、なぜオープンソースプロジェクトは、このタイプの機能を企業のコンテキスト内でレーダーに乗るデフォルトと見なしていないのでしょうか。
多くの理由がありますが、最大の理由の1つは、正しい方法または最良の方法が実際に何であるかについて、あなたが信じているよりも収束が少ないことです。
たとえば、Active Directoryは、Microsoft以外の開発者に実装の難しさを提示することで有名です。
おそらく、競合するシングルサインオンの「標準」が6つあります。
さまざまな役割/特権モデルを調整することは非常に困難です-地獄、SunはSolarisTrustedExtensionsのモデルをJavaモデルと調整するのに問題があります。
これらの問題を解決することはそれほど「楽しい」ことではないため、FOSS開発者は他の問題に惹かれます。
私はチャーリーがそれを釘付けにしたと思います:
セキュリティの問題を解決することは難しく、一般的にそれほど楽しいことではありません
OSS開発者は、自分たちが取り組んでいることを楽しむことに専念する傾向があります。私は職業生活の一環として多くの「エンタープライズクラス」の取り組みに取り組んでおり、それらがそれほど楽しいものではないことに同意します。しかし、これはOSSコンポーネントに対する私の終わりのない悲しみの1つです...お客様のニーズを満たしていないため、ソリューションでそれらを使用するのに問題があります。
一般的な理由は次のとおりです。
個人的に、私は最初のものを非難します。ほとんどのエンジニアは、アプリケーションをより大きなコンテキストでどのように使用できるかについても考慮していません。彼らは目前の問題を解決することに興味があり、使用可能な解決策を提供することにまったく興味がありません。ほとんどのFOSSソリューションは、興味深い問題に対する非常に興味深いソリューションです。通常、企業体がやって来て、FOSSソリューションを実際の環境で実際に使用できるようにする商用パッケージを提供します。もちろん、このパッケージには値札が付いています。
Open IDは、「認証」ソリューションを提供するための出発点です。(私の知る限り、「プロビジョニング」メカニズムはありません。外部機関を信頼してアカウントを識別し、自分のデバイスを使用してそのアカウントのサイト/アプリのバージョンを追加する必要があります)
役割の管理を一元化するためのある種のオープンな「承認」ソリューションを誰かが知っているなら、それも興味深いでしょう。ただし、組織内で定義された意味を持つ役割を使用して、社内で行うようなことのように聞こえます。IBMまたはOracleは、大きな変更を加えて、あなたのために何かを作ってくれると確信しています:-)
Active Directory / LDAPに、すべてのアプリケーションのすべてのユーザーの役割が含まれるようにしたくない場合があります。構造に多くの動きがある場合は、毎日多くの変更が行われている可能性があります。
また、ユーザーストア内の情報は非常に具体的であり、グローバルリポジトリに配置されていない場合があります。
少なくとも、役割の概念はかなり変化する可能性があります。「管理者」の概念を持つ3つのアプリケーションがあり、それぞれが管理者とは何か、管理者は誰であるかについてわずかに異なる定義を持っています。
よろしく、ギヨーム