파트너 회사의 Active Directory 인스턴스간에 신뢰할 수있는 관계를 설정하는 것이 합리적입니까?
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
회사가 종종 사용자가 파트너의 액티브 디렉토리에서 사용자를 생성 해야하는 경우, 그 반대도 마찬가지로 광고 인스턴스간에 연합 / 신뢰할 수있는 관계를 설정하는 것이 합리적입니까? 그렇다면 무엇을 고려해야합니까? 파트너 광고의 사용자를위한 ACL이 여전히 같은 방식으로 작동합니까? 이것은 어떤 보안 위험이 노출됩니까?
감사!
카
업데이트:
응용 프로그램 자체가 사용자 저장소를 확인하도록하여이를 수행하는 더 좋은 방법이 있다는 것을 배웠습니다. 이를 수행하는 가장 좋은 방법은 응용 프로그램을 두 사용자 저장에서 신뢰하는 도메인으로 옮기는 것입니다. 아래의 답변에 더 자세한 내용을 제공했습니다.
해결책
예, 뮬리플 도메인에서 사람들을 인증 할 수 있기를 원한다면 말이됩니다. 인증에 사용하려는 모든 AD 인스턴스에서 신뢰할 수있는 도메인에 대상으로하는 응용 프로그램이있는 서버를 배치해야합니다.
다른 팁
나는 이것을 조금 더 연구하고 있으며 좋은 해결책을 찾았습니다. 두 회사 모두 동일한 시스템을 사용해야하므로 시스템 자체는 사용자가 사용자 저장 (인증) 중 하나에 존재하는지 확인한 다음 시스템 수준의 승인을 확인하면됩니다.
두 회사에 액세스 할 수있는 아이디어는 견고합니다. 우리가 함께 일하고 있고이를 수행 할 방법이 없다면 Connected User Store에서 액세스하지 않고 회사의 모든 사용자를 다시 만들어야합니다. 분명히, 이것은 완전한 혼란과 유지 보수 악몽 일 것입니다.
제 경우에는 두 광고가 모두 같은 WAN에도 공식 연합이나 신뢰가 필요하다는 것을 알았습니다. 고맙게도, 우리는 이미 두 회사간에 신뢰하는 도메인을 가지고 있으므로 파트너가 사용하는 응용 프로그램을이 도메인으로 옮기면됩니다. 그 후, 그것은 단순히 광고를 사용하는 것을 나타내는 DNS 접미사를 완전히 자격을 갖추는 문제입니다. 애플리케이션 별 ACL은 원하는 사용자 저장소를 참조하십시오.
