Как я могу подключить эти 3 среды к SSO?

В моей организации сегодня мы используем следующее:

W2K8 R2 - Active Directory
Google Apps для предприятия
Версия Salesforce Enterprise

У каждого из них есть свои возможности для подключения к SSO. Я хотел бы подключить их, чтобы у моих пользователей был один пароль вместо трех, которые нужно запоминать (я призываю их менять все три каждый месяц - они не слушают - я слушаю).

Какой должна быть правильная процедура? проще всего?

Поддержка Google Apps - SAML, интегрированный вход с OpenID и сторонний OAuth. - я могу использовать их синхронизация каталога google чтобы синхронизировать мой домен со службой Google.
Salesforce поддерживает следующее
- Какое место в этой картине занимает Active Directory?

У меня вопрос: где здесь безопасность SF? Кто должен быть делегатом / субъектом федерации? Стоит ли искать стороннюю компанию? (Я думаю, это только усложняет ситуацию - или нет?)

примечание: я НЕ ищу здесь пошаговых инструкций. Я не могу понять, какая организация будет занимать какую позицию в процессе аутентификации SSO.

security single-sign-on

Я бы рекомендовал использовать SAML для обеспечения единого входа как для Google Apps, так и для Salesforce.com. Они будут действовать в роли «поставщика услуг» модели федерации SAML. После того, как Google Apps и SF.com настроены для этого, пользователи, которые пытаются получить доступ к одному из них напрямую (например, через закладки или URL-адреса, отправленные по электронной почте), будут перенаправлены к «провайдеру идентификации». IdP отвечает за взаимодействие с пользователем для проверки его личности. IdP будет настроен на использование вашей Active Directory в качестве пользовательского репозитория - это единственное место, где действительно нужно будет управлять паролями пользователей. Затем IdP отправит пользователя обратно к SP с ответом SAML, который содержит утверждения об идентичности пользователя. SP проверяет подлинность ответа, а затем использует утверждения для сопоставления пользователя AD с соответствующей учетной записью Google Apps или SF.com.

Между прочим, мы используем именно эту модель внутри нашего продукта PortalGuard в качестве IdP для Google Apps и SF.com. Вы также можете использовать ADFS, OpenAM или Ping в этой роли, но PortalGuard предоставляет другие функции, такие как двухфакторная / более строгая аутентификация, самостоятельное управление паролями и синхронизация паролей.

Единственное другое предостережение здесь заключается в том, что вам необходимо иметь как минимум версию Enterprise SF.com для поддержки SSO, инициированного SP (когда пользователь получает доступ к SF первый). Google Apps отлично поддерживает систему единого входа, инициированную SP.