О какой аутентификации заботится UnboundId SDK?

Question

О какой аутентификации заботится UnboundId SDK?

У меня есть активный каталог в облаке. В нашем веб-приложении мы используем LDAP. Сейчас мы обсуждаем, как создать мобильное приложение для нашего предприятия. Я искал SDK клиента LDAP и получил UnboundId LDAP SDK для Java. Я видел несколько примеров, но я не мог понять, насколько безопасно использовать этот SDK. Какую меру аутентификации он предоставляет? Какие методы шифрования можно использовать с ним? Есть ли другой API или SDK, который я могу использовать, который является более безопасным и надежным?

Пожалуйста помоги. Заранее спасибо.

0

java android active-directory ldap unboundid-ldap-sdk

Источник

user3676200 27 июн '14 в 12:31

1 ответ

Другие вопросы по тегам java android active-directory ldap unboundid-ldap-sdk

user574932 27 июн '14 в 23:55 2014-06-27 23:55 · Answer 1 · 2014-06-27 23:55

UnboundID LDAP SDK для Java поддерживает простую аутентификацию LDAP, а также ряд механизмов SASL, включая ANONYMOUS, CRAM-MD5, DIGEST-MD5, EXTERNAL, GSSAPI и PLAIN. В основном, посмотрите на подклассы com.unboundid.ldap.sdk.BindRequest, и у многих из них есть примеры, демонстрирующие их использование.

Но поскольку вы упомянули, что создаете мобильное приложение, важно отметить, что CRAM-MD5, DIGEST-MD5 и GSSAPI не поддерживаются в Android, поскольку они зависят от функции Java SE, которая недоступна в реализации Java в Android,

Что касается поддерживаемых методов шифрования, LDAP SDK поддерживает шифрование всех соединений с помощью SSL/TLS, а также защиту существующего незашифрованного соединения с помощью расширенной операции StartTLS. Если вы используете аутентификацию DIGEST-MD5 или GSSAPI и сервер поддерживает ее, то вы также можете использовать механизмы QoP целостности или конфиденциальности SASL.

Кроме того, CRAM-MD5, DIGEST-MD5 и GSSAPI позволяют вам выполнять аутентификацию через незащищенное соединение без разглашения учетных данных, поскольку они предоставляют собственный механизм защиты учетных данных в полете. Тем не менее, я бы, вероятно, рекомендовал использовать механизм, который защищает все коммуникации, поскольку учетные данные привязки, вероятно, не единственные виды конфиденциальной информации, которые могут отправляться через LDAP, и эти механизмы также не поддерживают защиту учетных данных при использовании вне привязки (например, при смене пароля или получении его в записи результатов поиска).