Я рассматриваю IAM для приложения SaaS. К приложению будут иметь доступ организации-клиенты, и каждая организация захочет управлять своими пользователями, разрешениями и ролями. Конечно, только подмножество полного набора разрешений системы будет управляться клиентами, а также будет доступ администратора.
Поддерживается ли это AD FS изначально или с дополнениями? Как кто-то может это сделать? Есть ли другое решение IAM, которое будет поддерживать это лучше?
решение1
То, что вы ищете, это менеджер по идентификации. Есть несколько вокруг, напримерOpenIDM.
По сути, менеджеры идентификационных данных предоставляют пользователям доступ, управляют ролями, решают проблемы с паролями и т. д.
STS, такие как ADFS, позволяют проводить аутентификацию таких пользователей.
ADFS находится поверх AD. Вы можете выполнять подготовку напрямую к AD с помощью ADUC, через LDAP, через библиотеки C# и т. д., но все это выходит за рамки ADFS.
решение2
Нет, и вам это не нужно. Они должны объединиться с вашим экземпляром и управлять своими пользователями.