SSO и IAM провайдеры — опыт использования
Ковыряю тут тему SSO и IAM провайдеров для одного из наших Java продуктов.
Хочеться послушать истории опыта использования подобных решений (что пошло что не пошло, что бы вы в итоге сделали не так и т.п. В общем отзывы от реальных пользователей приветствуются).
Примерный список игроков на рынке (не все OpenSource, что в идеале хотелось бы).
ForgeRock
Soffid
midPoint ШФЬ
Keycloak
Gluu Server
...
? думаю пропустил не мало опций.
7 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарівОтвет все еще был бы крайне полезен. Может кто фидбек по KeyCloak оставит?
пользуюсь KeyCloak на текущем проекте. Были косяки с утечками памяти под кривым использованием клиента но так — работает.
Скорее всего для себя использовал бы облачный сервис сейчас тк продакшен установка выходит довольно развесистой. К сожалению не могу сказать как он масштабируется в силу специфики проекта — относительно мало пользователей.
короче жить можно но некоторое количество секса стоит ожидать. Если вам по каким то причинам не хочется завязываться на провайдерские решения- это нормальный вариант. Мы закатали оный в докер и все норм.
Тоже апну топик, столкнулся с проблемой выбора IAM продукта. Поковырял несколько вариантов:
1. WSO2 — документация архи плоха, куча разных xml конфигов, но по отзывам коллег кто юзает — продукт должен быть неплох
2. GLUU — продукт хорош, документация тоже, но есть пару нюансов: identity management почти полностью отсутствуют, поэтому тут либо свой велосипед, либо другой продукт, а второй нюанс в том, что версию для докера саппортят только клиентов с энтерпрайз подпиской, а в будущем еще хотят лицензировать бинари для докера, поэтому этот вариант скипнули. А так, с коробки хороший access management с легкой настройкой SSO, 2FA
3. Apache Syncope — open source продукт, хорошая документация, легко деплоить, но по сути это только identity management, поэтому тоже не подходит
4. ForgeRock — следующий кандидат, хотя не совсем понятны их лицензии: продукт основан на OpenAM (бывший OpenSSO), но сорсы закрыты, а сам OpenAM поддерживается комьюнити по CDDL.
в порядке апа топика:
забили *** на опен сорц, делаем пруф оф концепт на Azure AD
по большому счету если вы в клауде — берите решение от самого клауда, будет меньше головной боли
одна беда — on-premise
ап топику, что то тут похоже с ынтерпрайзом туго
Многие свои велосипеды пишут или spring security юзают.