在活动目录中存储公共网站的用户

我正在为一个基金/养老金经理设计一个系统架构。我们提供两个ASP.NET MVC Web应用程序;一个允许养老基金成员登录并检查其余额、管理其投资等;另一个允许雇主代表雇员(成员)向基金捐款。也有通过内部网交付的内部应用程序。

我们一直在考虑使用active directory来存储、验证/授权的不仅仅是内部用户(他们已经在使用ad登录域和资源授权),还有成员和雇主用户帐户。成员和雇主用户帐户将位于不同的层次结构中(甚至可能是不同的广告实例?)对内部用户。

但是我想知道这是否是广告的最佳用例…给定AD是这样一个“内部”资源,是否应该使用它来保存“外部”用户的身份验证详细信息(另一种方法是在数据库中保存用户表)?

其优点是:AD是为保存此类数据而设计和优化的,ASP.NET应用程序很容易与AD授权集成,可能有处理数据的现有工具(密码重置等)。

有什么风险?