パートナー企業のActive Directoryインスタンス間に信頼関係を設定するのは理にかなっていますか?
-
07-07-2019 - |
質問
会社がパートナーのアクティブディレクトリにユーザーを作成することを頻繁に要求する場合、またはその逆の場合、ADインスタンス間にフェデレーション/信頼関係を設定することは理にかなっていますか?もしそうなら、何を考慮すべきですか?パートナーADのユーザーのACLは引き続き同じように機能しますか?これによりどのようなセキュリティリスクが露呈しますか?
ありがとう!
KA
更新:
アプリケーション自体にユーザーストアをチェックさせることで、これを実現するより良い方法があることを学びました。これを行う最良の方法は、両方のユーザーストアが信頼するドメインにアプリケーションを移動することです。詳細については、以下の回答で説明しました。
解決
はい、両方のドメインで複数のユーザーを認証できるようにしたいのは理にかなっています。認証に使用するすべてのADインスタンスによって信頼されているドメインに、対象のアプリケーションを含むサーバーを配置する必要があります。
他のヒント
私はこれをもう少し研究してきましたが、良い解決策を見つけました。両社とも同じシステムを使用する必要があるため、システム自体は、ユーザーがいずれかのユーザーストア(認証)に存在するかどうかを確認し、その後、システムレベルで承認する必要があります。
両社にアクセス権を付与する背後にある考え方はしっかりしています-一緒に作業しており、これを行う方法がない場合は、接続されたユーザーストアでアクセスせずに会社からすべてのユーザーを再作成する必要があります。明らかに、これは完全な混乱とメンテナンスの悪夢です。
私の場合、両方のADが同じWAN上にあるにもかかわらず、正式なフェデレーションまたは信頼が必要であることがわかりました。ありがたいことに、両社間ですでに信頼されているドメインがあるため、パートナーが使用するアプリケーションをこのドメインに移動するだけです。その後は、使用されているADを示すためにDNSサフィックスを完全に修飾するだけです。アプリケーション固有のACLは、目的のユーザーストアを参照します。