Привет, сообщество.
В общем, ситуация следующая:
Есть несколько сервисов (допустим, почта, некое приложение для бухучёта, корпоративный чат\звонилка), которым нужна атворизация. Не все поддерживают LDAP, но хотелось бы иметь возможность рулить авторизацией централизовано.
Я нагуглил вариант с использованием Nginx (auth_request module).
Как вижу схему:
1. На сервере, который смотрит в "мир", поступает запрос на определённое приложение;
2. nginx делает редирект на страничку авторизации (самописную, скорее всего, php, RoR, Python, etc) где и происходит авторизация с LDAP-сервера;
3. При удачной авторизации (определяем по коду ответа) мы делаем редирект на старничку, которую пользователь запросил изначально, но при этом он уже атворизован.
4. При не удачной просим верные креды или предлагаем регистрацию (в зависимости от настроек, скорее всего регистрация будет только вручную админом).
Реально ли организовать такую схему? Если реально, то где ещё можно почитать что-то, кроме официальной документации Nginx (с LDAP более-менее дружу) ?
Опыта в реализации SSO нет, поэтому прошу камнями не кидать =)
Спасибо!