Mi empresa tiene aplicaciones en la nube e intranet. Además, tenemos varias funciones, como empleados, clientes, socios, etc. Nos gustaría una federación de ID entre los servicios alojados en la nube pública y las aplicaciones internas. Los siguientes escenarios son posibles
- Empleado que accede a los servicios en la nube desde la intranet
- Empleados, clientes, socios que acceden a servicios en la nube desde Internet
- Servicios alojados en la nube que acceden a servicios de datos alojados internamente en una red corporativa
- Empleados, clientes, socios que acceden a aplicaciones / servicios web alojados internamente en una red corporativa desde Internet.
- Empleados, clientes, socios que acceden a aplicaciones / servicios web alojados internamente en la red corporativa desde la intranet.
Siempre que se acceda desde Internet a aplicaciones alojadas internamente o aplicaciones basadas en la nube, el SSO debe crearse mediante la autenticación multifactor, pero si se accede a las mismas aplicaciones desde la intranet, cualquiera de las dos es la contraseña de usuario o si el usuario es un empleado. El SSO de la empresa debe estar federado a servicios / aplicaciones basados en la nube.
Estamos debatiendo si existen ventajas o desventajas de tener dos proveedores de Identity, uno desplegado en DMZ y otro en la red interna. El que está en DMZ impondrá el acceso desde la intranet a los servicios basados en la nube o los usuarios que accedan a los servicios basados en la nube desde Internet se federarán a este IDP. Además, los usuarios de Internet que intentan acceder a las aplicaciones internas obtendrán la autenticación de múltiples factores de este IDP en dmz. El IDP dentro de la red interna se usa solo para los empleados que acceden a las aplicaciones de intranet.
Mi pregunta es si el IDP un poco anterior es una forma estándar de permitir el acceso. ¿Cuál es el daño de tener un solo IDP?