Синхронизация пользователей веб-приложений с корпоративным каталогом / базой данных

Мы создаем веб-приложение, ориентированное на корпорации; и вам необходимо поддерживать в актуальном состоянии репозиторий пользовательских данных для всех корпоративных пользователей нашего веб-приложения. Мы хорошо знаем, как добиться федеративной аутентификации - однако нам необходимо также поддерживать локальный репозиторий метаданных о пользователе (отдел, должность, уровень и т. Д.), А также знать жизненный цикл пользователей (т. Е. если кто-то ушел из компании и т. д.), то есть нам нужно решить проблему с провизией.

Как лучше всего обеспечить синхронизацию нашего пользовательского репозитория с произвольный репозитории компании (например, обычно LDAP, такие как AD или аналогичные)?

Мы рассмотрели несколько подходов:

• Настройка запроса LDAP "pull" из нашего веб-приложения; который регулярно опрашивает пользовательские данные. Очевидно, что может возникнуть много ненужного перетасовки данных (когда ничего не изменилось), потребуется внешний (интернет) доступный сервер LDAP от компании, что не является идеальным с точки зрения безопасности.
• Просить наших клиентов настроить механизм синхронизации LDAP на их серверах LDAP (например, установить агент, который отправляет нам изменения) - не идеально, поскольку для этого требуются настраиваемые компоненты и обслуживание
• Создайте поддержку общих (?) Протоколов для обеспечения пользователей и подключитесь к некоторому решению для управления идентификацией предприятия (например, SCIM, SPML). Что на самом деле используется сегодня?

Любые советы / лучшие практики?