La mia azienda ha applicazioni su cloud e intranet. Inoltre, abbiamo diversi ruoli come dipendenti, clienti, partner ecc. Vorremo la federazione ID tra servizi ospitati su cloud pubblico e applicazioni interne. Gli scenari seguenti sono possibili
- Dipendente che accede ai servizi cloud dalla intranet
- Dipendente, clienti, partner che accedono ai servizi cloud da internet
- Servizi ospitati nel cloud che accedono ai servizi di dati ospitati internamente sulla rete aziendale
- Dipendente, clienti, partner che accedono alle applicazioni / servizi web ospitati internamente su rete aziendale da Internet.
- Dipendente, clienti, partner che accedono a applicazioni / servizi Web ospitati internamente su reti aziendali da intranet.
Ogni volta che l'accesso è da Internet a applicazioni internamente ospitate o applicazioni basate su cloud, SSO deve essere creato tramite autenticazione a più fattori, ma se si accede alle stesse applicazioni da intranet, la password userid è sufficiente o se l'utente è un dipendente, la società SSO deve essere federata a servizi / applicazioni basati su cloud.
Stiamo discutendo se ci sono pro o contro di avere due provider di identità, uno distribuito in DMZ e altri nella rete interna. Quello in DMZ imporrà l'accesso passando da servizi intranet a servizi basati su cloud o gli utenti che accedono a servizi basati su cloud da Internet verranno federati a questo IDP. Inoltre, gli utenti di Internet che cercano di accedere alle applicazioni interne otterranno il multi fattore autenticato da questo IDP in dmz. L'IDP all'interno della rete interna viene utilizzato solo per i dipendenti che accedono alle applicazioni intranet.
La mia domanda è che il tipo IDP sopra descritto sia un modo standard per consentire l'accesso? Qual è il danno di avere un solo IDP?