Sincronizando usuários do aplicativo da web com o diretório corporativo / banco de dados [fechado]

Estamos construindo um aplicativo da web posicionado para corporações; e ter a necessidade de manter um repositório atualizado de dados do usuário para todos os usuários corporativos do nosso aplicativo da web. Estamos bem conscientes de como obter autenticação federada - no entanto, também precisamos manter um repositório local de metadados sobre um usuário (pense no departamento, posição, nível, etc.), bem como estar ciente do ciclo de vida dos usuários (ou seja, se alguém saiu da empresa, etc.), ou seja, precisamos resolver o provisionamento.

Quais são as melhores maneiras de garantir que possamos sincronizar nosso repositório de usuários com repositórios de empresa arbitrários (por exemplo, LDAPs como AD ou similar)?

Algumas abordagens que consideramos:

• Configurando uma consulta LDAP "pull" do nosso aplicativo da web; que regularmente pesquisas para dados do usuário. Obviamente, pode criar muitos dados desnecessários embaralhar (quando nada tiver mudado), exigir um (internet) exposta servidor LDAP da empresa que não é ideal segurança sábia.
• Solicitando que nossos clientes configurem uma sincronização LDAP mecanismo em seus servidores LDAP (por exemplo, instalar um agente que alterações para nós) - não é ideal, pois requer componentes personalizados instalados & manutenção
• Criar suporte para protocolos comuns (?) para provisionamento de usuários e ligação a alguma identidade empresarial solução de gerenciamento (por exemplo, SCIM, SPML). O que está realmente em uso hoje?

Alguma dica / melhor prática?