外部ユーザーを Active Directory に入れるのは悪い習慣ですか?
https://stackoverflow.com/questions/520266
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
既存の Web アプリケーションがあり、パートナー組織がユーザーの承認を自社側で管理できるように、カスタム認証ソリューションから Active Directory フェデレーション サービスに移行したいと考えています。
現在、サイトではカスタム データベース テーブルを使用してユーザーを管理し、カスタム ロジックを使用して認証と承認を管理しています。
ユーザーを認証し、ADFS 経由でアクセスを取得するパートナー組織に加えて、Active Directory ドメイン内の内部ユーザーもいます。これらのユーザーは、ADFS を通じて認証することもできます。
私たちの質問は外部ユーザーに関するものです。このサイトは個人でも登録できます。これらの個人は所属する組織を持たないため、ADFS を使用して認証を処理することはできません。
私たちはこれらの個人をサポートする必要があるため、彼らのユーザー アカウントを管理する必要があります。
ADFS は、Active Directory または Active Directory アプリケーション モードのアカウント ストアにのみ接続できます。
ADFS はこれらのアカウント ストアのみをサポートしているため、論理的な解決策は、Active Directory ドメインに外部ユーザーのアカウントを作成することであるように思えます。
これは、カスタム データベースに新しいレコードを作成するのではなく、アクティブな Active Directory に新しいユーザー アカウントを作成するように登録ページを更新することを意味します。
では、これは悪い習慣なのでしょうか?AD は組織外のユーザーに使用する必要がありますか?ADFS を使用する場合、他の人はこの種の状況にどのように対処していますか?
解決
外部ユーザー用に新しい AD フォレストを作成します。場合によっては、より優れたセキュリティを設定する必要がありますが、2 つはシームレスな認証のために接続できます。
ログオン時に別のドメインを使用するように指示する必要があります (たとえば、通常のユーザーは「mycorp」を使用し、外部ユーザーは「externalcorp」を使用します)。それ以外の場合は完全に透過的です。
他のヒント
はい、外部ユーザーを内部ユーザーと同じ AD に配置するのは悪い習慣です。外部アカウントを分離してチェックアウトする アダム 外部ユーザー認証用。
あなたが問う必要がある質問は、外部アカウントを Active Directory に保存することが悪いことなのかではなく、アカウントを内部アカウントと同じフォレストに保存することが悪いことなのかということだと思います。それは可能ですが、私は外部アカウントを内部アカウントと同じフォレストに置かないという Fallen 氏の意見に同意する傾向があります。
以前は、AD ストアを使用して外部アカウントを配置していたとき、新しいフォレストを作成し、そこに外部ユーザーを配置してから、2 つのドメインを信頼していました。ユーザーが内部ネットワークに対して持つ最高のアクセスは、ユーザーのアカウントではなく信頼によって制限されるため、私の意見では、これがより良い選択肢であると考えています。ドメインが構成されている場合は、いつでもシャットダウンでき、外部から内部ネットワークにアクセスできるものは何もないことがわかります。これにより、外部ユーザーと内部ユーザーの間で異なるセキュリティ ポリシーを適用することもできます。
