¿Tiene sentido establecer una relación de confianza entre instancias de Active Directory en empresas asociadas?
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Si una empresa a menudo requiere que se creen usuarios en el directorio activo de un socio, y viceversa, ¿tiene sentido establecer una relación federada / confiable entre las instancias de AD? Si es así, ¿qué se debe considerar? ¿La ACL para usuarios en el AD asociado todavía funciona de la misma manera? ¿Qué riesgos de seguridad expone esto?
¡Gracias!
KA
Actualización:
Aprendí que hay una mejor manera de hacer esto haciendo que la aplicación misma verifique las tiendas de los usuarios. La mejor manera de hacerlo es moviendo la aplicación a un dominio confiable para ambas tiendas de usuarios. He proporcionado más detalles en mi respuesta a continuación.
Solución
Sí, tiene sentido si desea que ambos puedan autenticar a las personas en varios dominios. Debe colocar el servidor que tiene la aplicación a la que se dirige en un dominio confiable para cada instancia de AD que desee usar para la autenticación.
Otros consejos
He estado investigando esto un poco más y he encontrado una buena solución. Dado que ambas compañías necesitan usar el mismo sistema, el sistema solo necesita verificar si un usuario existe en cualquiera de los almacenes de usuarios (autenticación), y luego a la autorización a nivel de sistema.
La idea detrás de dar acceso a ambas compañías es sólida: si estamos trabajando juntos y no tenemos una manera de hacerlo, tendríamos que volver a crear a todos los usuarios de la compañía sin acceso en la tienda de usuarios conectados. . Obviamente, esto sería un desastre total y una pesadilla de mantenimiento.
Descubrí que en mi caso, aunque ambos AD están en la misma WAN, es necesario tener una federación o confianza formal. Afortunadamente, ya tenemos un dominio de confianza entre ambas compañías, por lo que solo tengo que mover las aplicaciones utilizadas por los socios a este dominio. Después de eso, es simplemente una cuestión de calificar completamente el sufijo DNS para indicar el AD que se está utilizando. Las ACL específicas de la aplicación hacen referencia al almacén de usuarios deseado.
