Desafortunadamente, después de usar varios productos de SSO / IAM en un nivel de 'toque ligero' a 'integración profunda', todavía estoy insatisfecho, así que voy a hacer la pregunta más básica que puedo:
Dadas las aplicaciones múltiples (proveedores de servicios, SP), cada aplicación / SP tiene su propia lista de 'roles' o 'recursos' (admin, app_role_1, app / myurllink / two, app_role_2, mezclando intencionalmente para admitir ambas).
¿Qué soluciones admiten mejor el escenario simple de -
SP registra en el administrador de seguridad central la lista de roles / recursos (es decir, el SP hace este trabajo, no alguien que copia de forma independiente en un archivo de configuración xml / json localmente al IAM / IDM).
La herramienta IAM / IDM tiene una IU para seleccionar un usuario, seleccionar un servicio y luego permitir el acceso al rol / recurso (de la lista que el SP ha registrado).
La aplicación / SP delega la autenticación al SSO y obtiene los tokens para la autorización, obtiene los roles aprobados (plural) para ese servicio, el servicio permite el acceso y obtiene el perfil del sujeto / identidad para fines de visualización / auditoría.
Application / SP son principalmente aplicaciones web de escritorio, que combinan java y dotnet. <security-role><role-name>role1</role-name></security-role>, @DeclareRoles(...) definiciones de roles estándar.
Parece demasiado simple ... sin embargo, es imposible encontrar cómo llevarlo a cabo ...