Authentification "Enterprise", connexion unique et provisioning utilisateur pour plusieurs sites

Je cherche une solution pour la fourniture d'utilisateurs, l'authentification et la connexion unique qui me permettra de gérer des comptes pour tous les membres du personnel de mon entreprise sur tous les sites que nous travaillons.

Mon objectif principal est d'avoir un point unique auquel je peux ajouter/supprimer des utilisateurs pour accorder/révoquer l'accès à tous les sites que notre personnel devra travailler. C'est évidemment une chose assez utile à ce sujet, mais cela signifie également que je puisse demander au personnel de changer de mots de passe régulièrement sans qu'il prenne une journée pour passer à travers tous les sites, etc. Tout cela s'ajoute aux utilisateurs "normaux" qui varier d'un site à site.

L'approche partagée des tableaux ne fonctionnera pas (et n'utiliserait de toute façon pas), je n'engage pas en configuration d'un serveur LDAP uniquement pour cela, aucun des sites ne partage un domaine pour que la boulangerie ne fonctionne pas, le module OpenID permet de Fournisseur pour que je ne puisse pas faire confiance aux détails du profil pour définir automatiquement les rôles, etc.

Existe-t-il une solution existante (PRODUCTION READY) utilisée, E.G., OpenID mais me permet de restreindre le fournisseur/s à ceux que je peux faire confiance? Devrais-je juste mordre la balle et commencer à essayer de pirater le module OpenID? Suis-je aboyer le mauvais arbre?