代码之家  ›  专栏  ›  技术社区  ›  James Webster Jonathan Wood

在活动目录中存储公共网站的用户

authorization active-directory web-applications architecture authentication
  •  1
  • James Webster Jonathan Wood  · 技术社区  · 15 年前

    我正在为一个基金/养老金经理设计一个系统架构。我们提供两个ASP.NET MVC Web应用程序;一个允许养老基金成员登录并检查其余额、管理其投资等;另一个允许雇主代表雇员(成员)向基金捐款。也有通过内部网交付的内部应用程序。

    我们一直在考虑使用active directory来存储、验证/授权的不仅仅是内部用户(他们已经在使用ad登录域和资源授权),还有成员和雇主用户帐户。成员和雇主用户帐户将位于不同的层次结构中(甚至可能是不同的广告实例?)对内部用户。

    但是我想知道这是否是广告的最佳用例…给定AD是这样一个“内部”资源,是否应该使用它来保存“外部”用户的身份验证详细信息(另一种方法是在数据库中保存用户表)?

    其优点是:AD是为保存此类数据而设计和优化的,ASP.NET应用程序很容易与AD授权集成,可能有处理数据的现有工具(密码重置等)。

    有什么风险?

    2 回复  |  直到 15 年前
        1
  •  5
  •   Joel Etherton    15 年前

    我建议不要混合使用内部和外部用户。从经验上讲,这会带来很多安全问题。最好创建单独的身份验证系统,一个直接针对内部域使用ad,另一个使用adam目录,该目录仅用于保存外部用户。(即。—内部用户应使用带有ad的ntlm进行身份验证,以确保kerberos加密登录,而表单可用于adam实例)。

    但是,ad很容易集成,如果由于网络阻塞而不希望直接集成,则可以尝试ldap://来获得相同的身份验证结果。

        2
  •  0
  •   LeWoody    15 年前

    我认为你最大的风险是,广告不会扩展到你可能拥有的互联网应用的用户数量。我会使用成员资格提供程序,除非您试图通过内部和外部帐户实现SSO。

    推荐文章
    Xyro  ·  Azure AD本地计算机限制
    1 年前
    rickymartino  ·  PowerShell Active Directory-无法在筛选器中为Get-ADUser使用数组值
    2 年前
    dezox  ·  如何对Active Directory对象创建进行单元测试?
    3 年前
    ynick  ·  C#:在AD中创建计算机对象失败,访问被拒绝
    3 年前
    user217648  ·  在AD中处理帐户的正确方法是为不同的应用程序使用SSO
    7 年前
    J Weezy  ·  Active Directory:调整函数性能以检索组成员
    7 年前
    J Weezy  ·  Active Directory:此处是否存在无效字符转义以及如何处理
    7 年前
    Our Man in Bananas  ·  PowerShell中Active Directory Get-ADComputer的LDAP查询
    7 年前
    Alok Patra  ·  如何将TFS与Active Directory(AD)集成
    7 年前
    user217648  ·  具有除AD以外的其他用户注册表的ADF
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号