Ist es eine schlechte Praxis externe Benutzer in Active Directory zu setzen?
https://stackoverflow.com/questions/520266
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir haben eine bestehende Web-Anwendung, und wir wollen aus einer benutzerdefinierten Authentifizierungslösung Active Directory Federation Services migrieren, so dass unsere Partnerorganisationen die Genehmigung ihrer Nutzer auf ihrer Seite verwalten.
Im Moment ist die Seite verwendet benutzerdefinierte Datenbanktabellen Benutzer und Logik benutzerdefinierte Verwaltung Authentifizierung und Autorisierung zu verwalten.
Zusätzlich zu den Partnerorganisationen, die ihre Benutzer authentifizieren und den Zugriff über ADFS gewinnen, haben wir interne Benutzer, die in unserem Active Directory-Domäne sind. Diese Benutzer können auch durch ADFS authentifiziert werden.
Unsere Frage dreht sich um unsere externe Nutzer. Diese Website ermöglicht es auch Personen zu registrieren. Diese Personen haben keine Organisation, für die sie arbeiten, so können wir nicht ADFS verwenden, um ihre Authentifizierung zu behandeln.
Da wir diese Menschen unterstützen müssen, müssen wir ihre Benutzerkonten verwalten.
ADFS kann eine Verbindung nur an Active Directory oder Active Directory Application Mode-Konto speichert.
Da ADFS nur diese Kontospeicher unterstützt, scheint es, wie die logische Lösung ist Konten für externe Benutzer in unserem Active Directory-Domäne zu erstellen.
Dies würde bedeuten, dass wir unsere Registrierungsseiten aktualisieren würden neue Benutzerkonten in Active Active Directory zu erstellen, anstatt neue Datensätze in unserer eigenen Datenbank zu erstellen.
Also, das ist eine schlechte Praxis? Sollte AD für die Nutzer Organisation außerhalb jemandes verwendet werden? Wie andere tun, diese Art von Situation umgehen, wenn ADFS mit?
Lösung
Erstellen Sie eine neue AD-Gesamtstruktur für die externen Benutzer, müssen Sie möglicherweise etwas bessere Sicherheit einzurichten, aber die beiden können für eine nahtlose Authentifizierung conencted werden.
Sie müssen ihnen sagen, eine andere Domain zu verwenden, bei der Anmeldung (zB Ihrer normalen Benutzer verwenden ‚mycorp‘, Äußerlichkeiten verwenden ‚externalcorp‘), aber ansonsten ist es völlig transparent sein.
Andere Tipps
Ja, es ist eine schlechte Praxis externe Benutzer in der gleichen AD wie Ihre internen Benutzer zu setzen. Halten Sie externe Konten getrennt und Check-out ADAM für externe Benutzer-Authentifizierung.
Ich denke, die Frage, die Sie stellen müssen, ist, nicht, wenn externe Konten in Active Directory zu speichern schlecht, aber wenn Konten in der gleichen Gesamtstruktur wie interne Konten zu speichern ist schlecht. Es kann getan werden, aber ich würde dazu neigen, mit Gefallenen zu vereinbaren, dass ich nicht die externen Konten in der gleichen Gesamtstruktur mit den internen Faktoren setzen würde.
In der Vergangenheit, wenn wir einen AD Speicher verwenden externes Konto platzieren wir eine neue Gesamtstruktur erstellt und platziert die externen Nutzer dort und dann vertrauten die zwei Domäne. Meiner Meinung nach ist dies die bessere Option, da die höchsten Zugriffs Benutzer haben auf das interne Netzwerk durch das Vertrauen beschränkt ist und nicht ein Benutzerkonto. Wenn die Domäne enthalten ist, können Sie immer ausschalten und Sie wissen, dass nichts mit externen die internen Netzwerke zugreifen können. Auf diese Weise können Sie auch verschiedene Sicherheitsrichtlinien zwischen externen und internen Benutzern haben.
