代码之家 › 专栏 › 技术社区 › Bret Walker

将外部用户放入Active Directory是一种不好的做法吗?

adfs active-directory authentication security

12

Bret Walker · 技术社区 · 17 年前

我们有一个现有的Web应用程序,我们希望从自定义身份验证解决方案迁移到Active Directory联合身份验证服务,以便我们的合作伙伴组织可以管理其用户的授权。

目前,该网站正在使用自定义数据库表来管理用户,并使用自定义逻辑来管理身份验证和授权。

除了将对其用户进行身份验证并通过ADFS获得访问权限的合作伙伴组织外,我们还有Active Directory域中的内部用户。这些用户也可以通过ADFS进行身份验证。

我们的问题围绕着我们的外部用户。该网站还允许个人注册。这些人没有为其工作的任何组织,因此我们无法使用ADFS来处理他们的身份验证。

由于我们需要支持这些人,我们需要管理他们的用户帐户。

ADFS只能连接到Active Directory或Active Directory应用程序模式帐户存储。

由于ADFS只支持这些帐户存储,因此合乎逻辑的解决方案似乎是在我们的Active Directory域中为外部用户创建帐户。

这意味着我们将更新注册页面,在active Directory中创建新的用户帐户,而不是在自定义数据库中创建新记录。

那么,这是一种糟糕的做法吗?广告应该用于组织外部的用户吗?在使用ADFS时,其他人如何处理这种情况?

3 回复 | 直到 11 年前

1

12

gbjbaanb 17 年前

为您的外部用户创建一个新的AD林,您可能需要设置一些更好的安全性,但可以将两者结合起来进行无缝身份验证。

您需要告诉他们在登录时使用不同的域(例如,您的普通用户使用“mycorp”,外部用户使用“externalcorp”),但除此之外,它是完全透明的。

2

Toon Krijthe 17 年前

是的,将外部用户与内部用户放在同一个广告中是不好的做法。将外部账户分开并结账 ADAM 用于外部用户身份验证。

3

2

kemiller2002 17 年前

我认为你需要问的问题不是将外部帐户存储在active directory中是否不好,而是将帐户存储在与内部帐户相同的林中是否不坏。这是可以做到的,但我倾向于同意Fallen的观点,即我不会将外部账户与内部账户放在同一个林中。

过去,当我们使用AD存储来放置外部帐户时,我们创建了一个新林,并将外部用户放置在其中,然后信任这两个域。在我看来,这是更好的选择,因为用户对内部网络的最高访问权限受到信任的限制,而不是用户帐户的限制。如果该域包含在内,您始终可以将其关闭,您将知道任何外部网络都无法访问内部网络。这也允许您在外部和内部用户之间使用不同的安全策略。