Ha senso impostare una relazione di fiducia tra le istanze di Active Directory presso le società partner?
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Se un'azienda richiede spesso che gli utenti vengano creati nella directory attiva di un partner e viceversa, ha senso impostare una relazione federata / attendibile tra le istanze di AD? In tal caso, cosa dovrebbe essere considerato? L'ACL per gli utenti nell'AD partner funziona ancora allo stesso modo? Quali rischi per la sicurezza sono esposti?
Grazie!
KA
Aggiornamento:
Ho imparato che esiste un modo migliore per farlo facendo in modo che l'applicazione stessa controlli gli archivi degli utenti. Il modo migliore per farlo è spostare l'applicazione in un dominio considerato attendibile da entrambi gli archivi utenti. Ho fornito maggiori dettagli nella mia risposta di seguito.
Soluzione
Sì, ha senso se vuoi che entrambi siano in grado di autenticare le persone in domini multipli. Devi inserire il server che ha l'applicazione di destinazione in un dominio considerato attendibile da ogni istanza di AD che desideri utilizzare per l'autenticazione.
Altri suggerimenti
L'ho cercato un po 'di più e ho trovato una buona soluzione. Poiché entrambe le società devono utilizzare lo stesso sistema, il sistema stesso deve solo verificare se esiste un utente in uno dei negozi utente (autenticazione) e quindi l'autorizzazione a livello di sistema.
L'idea alla base di consentire l'accesso a entrambe le aziende è solida: se stiamo lavorando insieme e non abbiamo avuto modo di farlo, dovremmo ricreare tutti gli utenti dell'azienda senza accedere allo store degli utenti connessi . Ovviamente, questo sarebbe un disastro totale e un incubo per la manutenzione.
Ho scoperto che nel mio caso, anche se entrambi gli annunci pubblicitari si trovano sulla stessa WAN, è necessario disporre di una federazione o fiducia formale. Per fortuna, abbiamo già un dominio di fiducia tra le due società, quindi devo solo spostare le applicazioni utilizzate dai partner in questo dominio. Dopodiché, si tratta semplicemente di qualificare pienamente il suffisso DNS per indicare l'AD utilizzato. Gli ACL specifici dell'applicazione fanno quindi riferimento all'archivio utenti desiderato.
