Примечание. Существует много дискуссий о синхронизации учетных записей приложений Google с Active Directory. Это другой вопрос -
Я хотел бы, чтобы мои пользователи (около 10) в приложении Google входили в мои локальные веб-приложения, например, gitlab / gerrit / jenkins, используя свою учетную запись приложения Google через систему единого входа.
Вдобавок я хотел бы, чтобы они входили в свои локальные Linux-машины с теми же идентификаторами через Active Directory.
Поэтому после входа в систему на своем компьютере они должны иметь доступ ко всем локальным веб-приложениям, настроенным для использования приложений Google и других приложений Google (gmail / drive), без выполнения какого-либо другого входа.
Это возможно? как ?
это смесь SLO и SSO - аспекты единого входа являются общими и могут быть настроены разными способами, они будут полагаться на протокол LDAP, поэтому ваши клиенты Linux будут внутри вашей частной сети и будут настроены для отправки аутентификации запросы к контроллеру домена - это касается единого входа в систему, есть много ресурсов, которые охватывают развертывание, настройку и управление такого рода настройками.
второй сценарий охватывает единый вход, аутентификация происходит в вашем домене, а авторизация - в другом, это достигается путем установки поставщика удостоверений или подписки на онлайн-сервис SAS, который обеспечивает поддержку протоколов единого входа.
в вашем вопросе упоминаются службы федерации Active Directory, если у вас есть это в домене, вы можете поддерживать эти протоколы: язык разметки утверждений безопасности (SAML) Федерация удостоверений Windows (WIF) облегченный протокол доступа к каталогам (LDAP) OpenIDConnect (OIDC). вы можете интегрировать систему продажи билетов Kerberos и добиться истинного единого входа.
вы можете добиться того, что пытаетесь, с помощью OIDC, и вам следует попытаться придерживаться одного протокола федерации, потому что вход в службу с помощью SAML не означает автоматического входа в службу, которая зависит от OIDC.
Приложения Google используют протокол OIDC, но неясно, какой у вас провайдер идентификации: ADFS или Google.