Macht es Sinn, eine vertrauenswürdige Beziehung zwischen Active Directory-Instanzen bei Partnerunternehmen zu gründen?
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wenn ein Unternehmen oft Benutzer erfordert in einem Partner Active Directory erstellt werden, und umgekehrt, macht es Sinn, eine föderierte / vertrauenswürdige Beziehung zwischen den AD-Instanzen einrichten? Wenn ja, was sollte in Betracht gezogen werden? Ist die ACL für die Benutzer in dem Partner AD immer noch die gleiche Art und Weise arbeiten? Welche Sicherheitsrisiken aussetzt das?
Danke!
KA
Update:
Ich habe gelernt, dass es einen besseren Weg, dies zu tun, indem Sie die Anwendung, die sich Benutzer speichert überprüfen. Der beste Weg, dies zu tun ist durch die Anwendung in eine Domäne von beiden Benutzern speichern vertraut zu bewegen. Ich habe unten ausführlicher in meiner Antwort zur Verfügung gestellt.
Lösung
Ja, es macht Sinn, wenn Sie beide wollen in der Lage sein, Menschen auf mulitple Domänen zu authentifizieren. Sie müssen den Server gestellt, der die Anwendung hat Sie in einer Domäne von jedem AD Instanz, die Sie für die Authentifizierung verwenden möchten vertraute Targeting.
Andere Tipps
Ich habe die Erforschung dieses ein bisschen mehr, und ich habe eine gute Lösung gefunden. Da beide beide Unternehmen das gleiche System verwenden müssen, das System selbst muss nur, um zu überprüfen, ob ein Benutzer in entweder der Benutzer speichert (Authentifizierung) vorhanden ist, und dann auf die Genehmigung auf der Systemebene.
Die Idee beider Unternehmen Zugang hinter geben, ist solide - Wenn wir zusammen arbeiten und haben keine Möglichkeit, dies zu tun, wir bräuchten neu erstellen alle Benutzer von der Firma ohne Zugriff in dem angeschlossenen Benutzerspeicher . Offensichtlich ist dies wäre ein totales Durcheinander und ein Wartungs Alptraum.
Ich fand heraus, dass in meinem Fall, obwohl beide ADs auf dem gleichen WAN sind, ist es notwendig, eine formale Föderation oder Vertrauen zu haben. Zum Glück haben wir bereits eine Domäne, die zwischen den beiden Unternehmen vertraut ist, so muss ich nur noch die Anwendungen von den Partnern in diesem Bereich verwendet bewegen. Danach, es ist einfach eine Frage der voll qualifiziert das DNS-Suffix verwendet, um anzuzeigen, wobei die AD. Anwendungsspezifische ACLs dann verweist auf den gewünschten Benutzer zu speichern.
