Est-ce une mauvaise pratique de mettre les utilisateurs externes dans Active Directory?
https://stackoverflow.com/questions/520266
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Nous avons une application Web existante et nous voulons migrer d'une solution d'authentification personnalisée à Active Directory Federation Services afin que nos organisations partenaires peuvent gérer l'autorisation de leurs utilisateurs de leur côté.
En ce moment, le site utilise des tables de base de données personnalisées pour gérer les utilisateurs et une logique personnalisée pour gérer l'authentification et l'autorisation.
En plus des organisations partenaires qui authentifiera les utilisateurs et avoir accès par ADFS, nous avons des utilisateurs internes qui sont dans notre domaine Active Directory. Ces utilisateurs peuvent également être authentifiés par ADFS.
Notre question tourne autour de nos utilisateurs externes. Ce site permet également aux individus d'enregistrer. Ces personnes n'ont pas l'organisation pour laquelle ils travaillent, donc nous ne pouvons pas utiliser ADFS pour gérer leur authentification.
Puisque nous devons soutenir ces personnes, nous devons gérer leurs comptes utilisateur.
ADFS ne peut se connecter à Active Directory ou Active Directory stocke compte du mode d'application.
Depuis ADFS ne supporte que ces magasins de compte, il semble que la solution logique est de créer des comptes pour les utilisateurs externes dans notre domaine Active Directory.
Cela signifierait que nous avions à jour nos pages d'enregistrement pour créer de nouveaux comptes d'utilisateurs dans Active Directory actif plutôt que de créer de nouveaux enregistrements dans notre base de données personnalisée.
Alors, est-ce une mauvaise pratique? AD doit être utilisé pour les utilisateurs externes à une organisation de? Comment les autres gèrent ce type de situation lors de l'utilisation ADFS?
La solution
Créer une nouvelle forêt AD pour vos utilisateurs externes, vous pourriez avoir besoin de mettre en place une meilleure sécurité, mais les deux peuvent être conencted pour l'authentification transparente.
Vous aurez besoin de leur dire à utiliser, mais sinon il est totalement transparent d'un domaine différent lors de la connexion (par exemple, vos utilisateurs normaux utilisent « mycorp », utiliser externals « externalcorp »).
Autres conseils
Oui, il est une mauvaise pratique de mettre les utilisateurs externes dans le même AD que vos utilisateurs internes. Gardez les comptes externes indépendants et consultez ADAM pour l'authentification utilisateur externe.
Je pense que la question que vous devez poser est pas si le stockage des comptes extérieurs dans le répertoire actif est mauvais, mais si le stockage des comptes dans la même forêt que vos comptes internes est mauvaise. Il peut être fait, mais je suis d'accord avec Déchu que je ne mettrais pas les comptes extérieurs dans la même forêt avec les internes.
Dans le passé, lorsque nous avons utilisé un magasin AD pour placer le compte externe que nous avons créé une nouvelle forêt et placé les utilisateurs externes là-bas et puis fait confiance les deux domaines. À mon avis, c'est la meilleure option, car les utilisateurs d'accès les plus élevés ont au réseau interne est limitée par la fiducie et non le compte d'un utilisateur. Si le domaine est composé, vous pouvez toujours le fermer et vous saurez que rien avec les réseaux internes peuvent accéder externe. Cela vous permet également d'avoir des politiques de sécurité entre les utilisateurs internes et externes.
