Sfortunatamente, dopo aver usato diversi prodotti SSO / IAM a livello di 'lite touch' a 'integrazione profonda', sono ancora rimasto insoddisfatto, quindi vado a fare la domanda più semplice che posso:
Considerate più applicazioni (service provider, SP), ogni applicazione / SP ha il proprio elenco di "ruoli" o "risorse" (admin, app_role_1, app / myurllink / two, app_role_2, mixaggio mirato per supportare entrambi).
Quale soluzione (s) meglio sostenere lo scenario semplice di -
SP registra nel gestore di sicurezza centrale l'elenco di ruoli / risorse (ad esempio, l'SP fa questo lavoro, non qualcuno che copia in modo indipendente in un file di configurazione xml / json localmente su IAM / IDM).
Lo strumento IAM / IDM dispone di un'interfaccia utente per selezionare un utente, selezionare un servizio, quindi consentire l'accesso a ruolo / risorsa (dall'elenco che l'SP ha registrato).
L'applicazione / SP delega l'autenticazione a SSO e ottiene i token per l'autorizzazione, ottiene i ruoli approvati (plurale) per quel servizio, il servizio consente l'accesso e ottiene il profilo soggetto / identità per scopi di visualizzazione / controllo.
Application / SP sono principalmente applicazioni web desktop, che mescolano java e dotnet. <security-role><role-name>role1</role-name></security-role>, @DeclareRoles(...) definizioni di ruoli standard.
Sembra troppo semplice ... ma impossibile trovare il modo di farlo ...