代码之家  ›  专栏  ›  技术社区  ›  James Webster Jonathan Wood

在活动目录中存储公共网站的用户

  •  1
  • James Webster Jonathan Wood  · 技术社区  · 15 年前

    我正在为一个基金/养老金经理设计一个系统架构。我们提供两个ASP.NET MVC Web应用程序;一个允许养老基金成员登录并检查其余额、管理其投资等;另一个允许雇主代表雇员(成员)向基金捐款。也有通过内部网交付的内部应用程序。

    我们一直在考虑使用active directory来存储、验证/授权的不仅仅是内部用户(他们已经在使用ad登录域和资源授权),还有成员和雇主用户帐户。成员和雇主用户帐户将位于不同的层次结构中(甚至可能是不同的广告实例?)对内部用户。

    但是我想知道这是否是广告的最佳用例…给定AD是这样一个“内部”资源,是否应该使用它来保存“外部”用户的身份验证详细信息(另一种方法是在数据库中保存用户表)?

    其优点是:AD是为保存此类数据而设计和优化的,ASP.NET应用程序很容易与AD授权集成,可能有处理数据的现有工具(密码重置等)。

    有什么风险?

    2 回复  |  直到 15 年前
        1
  •  5
  •   Joel Etherton    15 年前

    我建议不要混合使用内部和外部用户。从经验上讲,这会带来很多安全问题。最好创建单独的身份验证系统,一个直接针对内部域使用ad,另一个使用adam目录,该目录仅用于保存外部用户。(即。—内部用户应使用带有ad的ntlm进行身份验证,以确保kerberos加密登录,而表单可用于adam实例)。

    但是,ad很容易集成,如果由于网络阻塞而不希望直接集成,则可以尝试ldap://来获得相同的身份验证结果。

        2
  •  0
  •   LeWoody    15 年前

    我认为你最大的风险是,广告不会扩展到你可能拥有的互联网应用的用户数量。我会使用成员资格提供程序,除非您试图通过内部和外部帐户实现SSO。