Est-il judicieux de définir une relation de confiance entre les instances Active Directory des sociétés partenaires?
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Si une entreprise exige souvent que les utilisateurs soient créés dans l'annuaire actif du partenaire, et inversement, est-il judicieux de configurer une relation de confiance / fédérée entre les instances AD? Si oui, que faut-il considérer? La liste de contrôle d'accès des utilisateurs de l'AD partenaire fonctionne-t-elle toujours de la même manière? Quels risques de sécurité cela expose-t-il?
Merci!
KA
Mise à jour:
J'ai appris qu'il existe un meilleur moyen de le faire en faisant vérifier par l'application elle-même les magasins des utilisateurs. Pour ce faire, la meilleure solution consiste à déplacer l'application dans un domaine approuvé par les deux magasins d'utilisateurs. J'ai fourni plus de détails dans ma réponse ci-dessous.
La solution
Oui, cela a du sens si vous voulez que les deux puissent authentifier des personnes appartenant à plusieurs domaines. Vous devez placer le serveur sur lequel l'application que vous ciblez est dans un domaine approuvé par chaque instance AD ??que vous souhaitez utiliser pour l'authentification.
Autres conseils
J'ai fait des recherches un peu plus à ce sujet et j'ai trouvé une bonne solution. Étant donné que les deux sociétés doivent utiliser le même système, le système lui-même doit simplement vérifier si un utilisateur existe dans l'un ou l'autre de ses magasins (authentification), puis dans l'autorisation au niveau du système.
L’idée d’accorder un accès aux deux sociétés est solide: si nous travaillons ensemble et n’avons pas la possibilité de le faire, nous aurions besoin de recréer tous les utilisateurs de la société sans accès dans le magasin d’utilisateurs connectés. . Évidemment, ce serait un gâchis total et un cauchemar d’entretien.
J'ai découvert que dans mon cas, même si les deux AD sont sur le même réseau étendu, il est nécessaire d'avoir une fédération ou une confiance formelle. Heureusement, nous avons déjà un domaine de confiance entre les deux sociétés. Il ne me reste donc plus qu'à déplacer les applications utilisées par les partenaires dans ce domaine. Après cela, il suffit simplement de qualifier complètement le suffixe DNS pour indiquer l’AD utilisé. Les listes de contrôle d'accès spécifiques à l'application font ensuite référence au magasin d'utilisateurs souhaité.
