Vraag


  • Hogarts
  • Registratie: Maart 2022
  • Laatst online: 23-04-2022
Eigenlijk is mijn vraag vrij simpel : Wij willen een web-systeem opzetten met daaraan gekoppelde diensten zoals ftp-upload etc. etc. Maar wel met centraal user-beheer.

En nu is feitelijk mijn vraag wat is een goede standaard oplossing voor Gebruikersbeheer binnen een web-app die ook andere koppelingen ondersteunt.

De meeste webapps lijken enkel puur eigen userbeheer te hebben, terwijl ik dus gewoon aan een account een vinkje wil kunnen aanzetten en dan heeft hij ook ftp toegang met dezelfde inlog en zo zijn er qua gedachten meerdere apps die linksom of rechtsom idealiter zouden moeten werken met oauth/ldap/sso zodat iemand niet 10 inlogt krijgt.
Daarnaast moeten er in de user-backend ook allerlei custom velden aan te maken zijn voor bij mailings die iemand moet kunnen ontvangen etc.

Vanuit een unix-verleden zit ik zelf wel te denken aan een ldap-server, alleen praktisch gezien is qua beheer windows makkelijker voor onze organisatie en op windows vind ik eigenlijk weinig enigszins overzichtelijk te beheren ldap servers.
En qua windows hoor ik voornamelijk dat men dan een AD aanraad, alleen ik zit niet echt te wachten op een officiele AD (waar dns/dhcp etc bijhoort en allerlei andere zaken) terwijl ik enkel user-management wil hebben en die via standaard protocollen wil benaderen.

Nu zie ik dat je ook AzureAD hebt, wat me wel iets lijkt puur omdat het wel de mogelijkheden van een AD biedt, zonder de vereisten, alleen het is in de cloud wat de rest van onze app niet is, waardoor het een extra dependancy is (en gelijk een mega-belangrijke omdat de inlogs ervanaf hangen)

Ik zie wel dat er voor windows wat java-ldap servers zijn etc, alleen bijna niemand wenst het te bundelen naar 1 makkelijk windows pakket, men wil liever zeggen dat je Tomcat bijv los moet installeren en dan binnen Tomcat weer hun applicatie, alleen vanwege de complexiteit die je met Tomcat kunt bereiken zitten we eigenlijk niet echt te wachten op deze beheerscomplexiteit oftewel het is wel te overwegen als iemand het in een standaard pakket aflevert, maar niet echt als men het afhankelijk wil maken van een Tomcat etc.
Puur vanwege iets als een log4j etc willen we gewoon 1 partij hebben die dit soort issues oplost en niet dat die dan doorverwijst naar google maar op Tomcat...

Mijn vraag is eigenlijk meer of men nog andere alternatieven heeft naast AD/AzureAD aangezien het toch net iets te groot aanvoelt.

We zijn dus niet op zoek naar een applicatieserver die ook userbeheer kan doen, de applicaties die leveren we zelf aan, we zijn alleen op zoek naar een userbeheer-programma die je via standaard-protocollen kan benaderen.

In theorie zouden we het ook zelf kunnen bouwen met een dbase etc. Alleen simplistisch gezegd hebben we niet de expertise in huis om 99% zeker te zijn dat een encryptie voor een wachtwoord voldoende is en daarnaast hebben we gewoon helemaal geen zin om standaard protocollen als ldap/oauth na te gaan bouwen inclusief alle rariteiten en varianten die men dan kent.
Wij denken simpelweg dat het veilig opslaan van wachtwoorden etc over meerdere jaren heen een expertise is die wij simpelweg niet hebben (en ook niet echt een behoefte aan hebben)

Alle reacties


  • mjax
  • Registratie: September 2000
  • Laatst online: 21:01
Klinkt alsof je een Indentity Provider zoekt. Overigens zit er natuurlijk wel een onderscheid tussen authenticatie en autorisatie. De Identity Provider zorgt in principe alleen voor authenticatie en via userprovisioning kun je er voor zorgen dat in alle gekoppelde applicaties accounts worden aangemaakt. Maar die accounts hebben daarmee nog niet noodzakelijjk de juiste rechten. Dus "dus gewoon aan een account een vinkje wil kunnen aanzetten en dan heeft hij ook ftp toegang" is niet vanzelfsprekend.

Dus je implementeert een Identity Provider en gaat vervolgens jouw eigen applicaties aanpassen, zodat deze kunnen koppelen met die provider (op basis van LDAP, etc.) In die koppeling los je ook je provisioning op en kun je bijvoorbeeld op basis van groepen in de provider ook rollen toekennen, etc. en daarmee een stukje van de autorisatie verplaatsen naar de Indentity Provider.

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Hogarts schreef op vrijdag 8 april 2022 @ 00:52:
...
En qua windows hoor ik voornamelijk dat men dan een AD aanraad, alleen ik zit niet echt te wachten op een officiele AD (waar dns/dhcp etc bijhoort en allerlei andere zaken) terwijl ik enkel user-management wil hebben en die via standaard protocollen wil benaderen...
't Is denk ik een misvatting dat je voor een AD persé bent gebonden aan Microsoft's DNS en Microsoft's DHCP. Idealiter ondersteunt je DNS server dynamic updates, maar als je dat handmatig wilt doen of zelf wilt automatiseren kan dat net zo goed.

QnJhaGlld2FoaWV3YQ==


  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Hogarts schreef op vrijdag 8 april 2022 @ 00:52:
Eigenlijk is mijn vraag vrij simpel : Wij willen een web-systeem opzetten met daaraan gekoppelde diensten zoals ftp-upload etc. etc. Maar wel met centraal user-beheer.

En nu is feitelijk mijn vraag wat is een goede standaard oplossing voor Gebruikersbeheer binnen een web-app die ook andere koppelingen ondersteunt.

De meeste webapps lijken enkel puur eigen userbeheer te hebben, terwijl ik dus gewoon aan een account een vinkje wil kunnen aanzetten en dan heeft hij ook ftp toegang met dezelfde inlog en zo zijn er qua gedachten meerdere apps die linksom of rechtsom idealiter zouden moeten werken met oauth/ldap/sso zodat iemand niet 10 inlogt krijgt.
Daarnaast moeten er in de user-backend ook allerlei custom velden aan te maken zijn voor bij mailings die iemand moet kunnen ontvangen etc.

Vanuit een unix-verleden zit ik zelf wel te denken aan een ldap-server, alleen praktisch gezien is qua beheer windows makkelijker voor onze organisatie en op windows vind ik eigenlijk weinig enigszins overzichtelijk te beheren ldap servers.
En qua windows hoor ik voornamelijk dat men dan een AD aanraad, alleen ik zit niet echt te wachten op een officiele AD (waar dns/dhcp etc bijhoort en allerlei andere zaken) terwijl ik enkel user-management wil hebben en die via standaard protocollen wil benaderen.

Nu zie ik dat je ook AzureAD hebt, wat me wel iets lijkt puur omdat het wel de mogelijkheden van een AD biedt, zonder de vereisten, alleen het is in de cloud wat de rest van onze app niet is, waardoor het een extra dependancy is (en gelijk een mega-belangrijke omdat de inlogs ervanaf hangen)

Ik zie wel dat er voor windows wat java-ldap servers zijn etc, alleen bijna niemand wenst het te bundelen naar 1 makkelijk windows pakket, men wil liever zeggen dat je Tomcat bijv los moet installeren en dan binnen Tomcat weer hun applicatie, alleen vanwege de complexiteit die je met Tomcat kunt bereiken zitten we eigenlijk niet echt te wachten op deze beheerscomplexiteit oftewel het is wel te overwegen als iemand het in een standaard pakket aflevert, maar niet echt als men het afhankelijk wil maken van een Tomcat etc.
Puur vanwege iets als een log4j etc willen we gewoon 1 partij hebben die dit soort issues oplost en niet dat die dan doorverwijst naar google maar op Tomcat...

Mijn vraag is eigenlijk meer of men nog andere alternatieven heeft naast AD/AzureAD aangezien het toch net iets te groot aanvoelt.

We zijn dus niet op zoek naar een applicatieserver die ook userbeheer kan doen, de applicaties die leveren we zelf aan, we zijn alleen op zoek naar een userbeheer-programma die je via standaard-protocollen kan benaderen.

In theorie zouden we het ook zelf kunnen bouwen met een dbase etc. Alleen simplistisch gezegd hebben we niet de expertise in huis om 99% zeker te zijn dat een encryptie voor een wachtwoord voldoende is en daarnaast hebben we gewoon helemaal geen zin om standaard protocollen als ldap/oauth na te gaan bouwen inclusief alle rariteiten en varianten die men dan kent.
Wij denken simpelweg dat het veilig opslaan van wachtwoorden etc over meerdere jaren heen een expertise is die wij simpelweg niet hebben (en ook niet echt een behoefte aan hebben)
Active Directory vereist geen DHCP. Wel DNS maar dat hoeft niet perse de Microsoft DNS te zijn al vind ik het gemakkelijker om wel de Microsoft DNS te gebruiken maar gewoon een apart subdomein voor die 1 of 2 Domain Controllers te maken zodat de rest van jouw infra gewoon de bestaande DNS blijft gebruiken. Inrichten kost je 10 minuten en daarna heb je er nooit weer omkijken naar.

Het enige nadeel is eigenlijk dat je 1-2 dedicated domain controllers moet inzetten en die machines (dus) geen onderdeel van de bestaande AD kunnen zijn. Dus je krijgt wel wat extra beheer. Maar het voordeel is weer dat jouw huidige Windows beheerder deze oplossing kent en je dus geen nieuwe expertise in huis hoeft te halen.

Als je persé een alles-in-1 pakket wilt zou je eens naar Entrust Identity Enterprise kunnen kijken. Dat is een complete oplossing waar de updates ook gewoon Tomcat en Java updates bevatten dus geen onderhoud aan die losse componenten. Maar ik ken het kostenplaatje niet en vermoed dat het vrij prijzig is. Maar het is wel erg flexibel en kan bijvoorbeeld ook met 2FA omgaan.

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 18:31
Misschien een stapje terug....

Je geeft aan een applicatie te ontwikkelen, is dit een applicatie voor Intern gebruik, of ook bij klanten?
Ook zijn, dit interne gebruikers of externe gebruikers?
Hoeveel gebruikers praten we, en moet de authenticatie provider bijvoorbeeld hoog beschikbaar zijn?
Is Multifactor authenticatie gewenst, of verplicht of noodzakelijk in de toekomst?

Dit kan namelijk nog het nodige uitmaken, voor je keuzes.

Bij Intern, is het eigenlijk van belang, wat gebruiken jullie al intern, of waar heb je de beschikking toe?

Als je bijvoorbeeld bij 10 klanten dit wilt implementeren, kunnen je keuzes anders zijn, dat als dit voor een interne applicatie is.

We zijn al met de techniek bezig, terwijl eigenlijk bepaalde informatie nog niet bekend is.

Daarnaast is Authentication iets anders dan Authorization of custom fields, dit sla je eigenlijk of bijna nooit op in een Authentication Provider, al kun je eventueel de groepen hiervan gebruiken.

Authentication kan je bijvoorbeeld aan AD/LDAP/SAML provider overlaten, maar de rest van je informatie verwerk je in een eigen database.

[Voor 17% gewijzigd door Rolfie op 11-04-2022 10:18]



Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee