オープンディレクトリとSAMLIDプロバイダー

Open DirectoryにはLDAPバックエンドがあるため、LDAPでsimplesamlphpのようなものを使用して、必要なものを取得します。

ただし、いくつかの大きな注意事項があります。

Windows Serverのエクスペリエンスに満足している場合は、OSXとOpenDirectoryに切り替える理由はほとんどありません。 Appleは、OSXを優れたActiveDirectoryクライアントにするために多大な労力を費やしてきました。概要については、次のトピックに関するホワイトペーパーを参照してください。

マウンテンライオン http://training.Apple.com/pdf/wp_integrating_active_directory_ml.pdf

マーベリックス http://training.Apple.com/pdf/wp_integrating_active_directory_mav.pdf

あるディレクトリシステムから別のディレクトリシステムへの移行は大きなプロジェクトであり、ADはMicrosoftからの優れたベンダーサポートを受けています。これは、両方の製品を幅広く使用したシステム管理者として言います。私が展開したOpenDirectoryのすべてのバージョンには、遅かれ早かれ重大なバグがありました。私が最後に遭遇したのは、Mountain Lion ServerのLDAP認証のバグで、通常の負荷がかかっているときにサーバーが約24時間ごとにクラッシュしていました。回避策は、1時間ごとにサービスを再起動するスクリプトでした。本当の修正は、マーベリックスがリリースされるまで実現しませんでした。 Appleは、リリースノートでバグを認識したことはなく、通常のAppleCareも認識しませんでした。ヘルプ（この場合、バグの認識と回避策が正しい回避策であったこと）は、エンタープライズAppleCareから提供されました。 。

本当にAppleサーバーに移行したい場合は、エンタープライズサポート契約が必須です。詳細については、こちらをご覧ください。

http://www.Apple.com/support/products/enterprise/ossupport.html

お役に立てば幸いです。

AD環境で認証にKerberosを使用している場合、原則として、AD機能からKerberosサーバー（MITのkrb5など）とLDAPサーバーの組み合わせ（Linuxで実行）への移行が機能します。 Mac OS Xクライアントは、Kerberos認証とSSOをサポートしています。 Safari（およびChrome、Firefox）は、HTTPを介したKerberos認証を処理するためのSPNEGO拡張機能をサポートしています。 OAuth2またはSAMLIdPは、ユーザーのIDを外部のサービスプロバイダー（Google Appsなど）に証明するためのメカニズムです。