Блог

Если бы вы собирались создать корпоративное приложение SaaS сегодня, какой протокол / конечная точка были бы предпочтительными для получения списка пользователей, электронных писем и групп из развертывания Azure AD?

Исторически это делалось через подключение LDAP к контроллеру домена Active Directory, и я вижу, что Azure предлагает службу LDAPS (Azure AD DS).

ADFS, которая довольно широко распространена, является просто совместимым с SAML IdP, но, похоже, она не предоставляет API для перечисления каталога пользователей.

Microsoft Graph API, похоже, может предоставить хотя бы часть этой информации, но она кажется довольно новой и очень распространенной. Существует также нечто, называемое SCIM, которое, по-видимому, имеет более широкую поддержку, но, похоже, оно также не очень популярно в корпоративных облачных приложениях.

Мое исследование показало, что очевидным правильным решением этой проблемы является внедрение API-интерфейсов SCIM 2.0 в продукт.

Основная проблема этого подхода заключается в том, что SCIM 2.0 — это протокол, который запускается поставщиком каталогов (т. Е. Приложение SaaS получит вызов API из Azure AD, когда необходимо создать или обновить пользователя, вместо того, чтобы приложение SaaS связывалось с конечной точкой каталога для получения информации, когда это необходимо).

Это создает несколько неприятностей, таких как потенциальные условия гонки при обновлении пользовательской информации в середине процессов приложения или тот факт, что обновления каталога не могут запускаться в удобное время (например, по ночам, например). Отладка / тестирование также более проблематичны.