Реализация Single Sign on (LDAP + Nginx ?)

[Punko]

Привет, сообщество.

В общем, ситуация следующая:
Есть несколько сервисов (допустим, почта, некое приложение для бухучёта, корпоративный чат\звонилка), которым нужна атворизация. Не все поддерживают LDAP, но хотелось бы иметь возможность рулить авторизацией централизовано.

Я нагуглил вариант с использованием Nginx (auth_request module).

Как вижу схему:
1. На сервере, который смотрит в "мир", поступает запрос на определённое приложение;
2. nginx делает редирект на страничку авторизации (самописную, скорее всего, php, RoR, Python, etc) где и происходит авторизация с LDAP-сервера;
3. При удачной авторизации (определяем по коду ответа) мы делаем редирект на старничку, которую пользователь запросил изначально, но при этом он уже атворизован.
4. При не удачной просим верные креды или предлагаем регистрацию (в зависимости от настроек, скорее всего регистрация будет только вручную админом).

Реально ли организовать такую схему? Если реально, то где ещё можно почитать что-то, кроме официальной документации Nginx (с LDAP более-менее дружу) ?

Опыта в реализации SSO нет, поэтому прошу камнями не кидать =)

Спасибо!

[AnrDaemon]

http-auth-request это жутчайшая хрень, на самом деле.
Но помимо этого факта, вам она не поможет.
Хотя бы потому, что вы путаете авторизацию и аутентификацию.
В случае http-auth-request, аутентификацию делает nginx и передаёт вам готовое имя пользователя.
По которому вы уже можете делать авторизацию.
И, да, это не SSO.

[Punko]

AnrDaemon, подумал, что для авторизации юзера в приложении он в любом случае должен там присутствовать - или во внутренней базе пользователей, или в общем сервере.

То есть, все приложения должны поддерживать общий сервис, правильно?

[AnrDaemon]

Я бы на вашем месте поискал решения для аутентификации пользователей напрямую на LDAP (или PAM) для тех приложений, что вы используете.

[Punko]

AnrDaemon, тоже склоняюсь к этому варианту.