É uma prática ruim para colocar usuários externos no Active Directory?
https://stackoverflow.com/questions/520266
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Nós temos um aplicativo Web existente e queremos migrar de uma solução de autenticação personalizada para Active Directory Federação Serviços para que nossas organizações parceiras podem gerenciar a autorização de seus usuários ao seu lado.
Agora o site está usando tabelas de banco de dados personalizados para gerenciar usuários e lógica personalizada para gerenciar a autenticação e autorização.
Além das organizações parceiras que irá autenticar seus usuários e ter acesso através de ADFS, temos usuários internos que estão em nosso domínio do Active Directory. Esses usuários também pode ser autenticado através de ADFS.
A nossa questão gira em torno de nossos usuários externos. Este site também permite que os indivíduos para se registrar. Estes indivíduos não têm qualquer organização para quem eles trabalham, por isso não podemos usar ADFS para lidar com a sua autenticação.
Uma vez que precisamos para apoiar essas pessoas, precisamos de gerir as suas contas de usuário.
ADFS só pode conectar a armazenamentos de contas Active Directory Application Mode Active Directory ou.
Desde ADFS suporta apenas essas lojas de contas, parece que a solução lógica é criar contas de usuários externos em nosso domínio Active Directory.
Isto significaria que teríamos atualizar nossas páginas de registro para criar novas contas de usuário no Active Directory ativa em vez de criar novos registros em nosso banco de dados personalizado.
Então, isso é uma má prática? Should AD ser usado para usuários externos à sua organização? Como os outros lidar com este tipo de situação quando se usa ADFS?
Solução
Criar uma nova AD floresta para seus usuários externos, pode ser necessário configurar alguma segurança melhor, mas os dois podem ser conencted para autenticação sem costura.
Você precisa dizer a eles para usar um domínio diferente ao fazer logon (por exemplo, os usuários normais usar 'mycorp', externos usar 'externalcorp'), mas caso contrário, é totalmente transparente.
Outras dicas
Sim, é má prática para colocar os usuários externos na mesma AD como seus usuários internos. Manter contas externas separar e confira ADAM para autenticação do usuário externo.
Eu acho que a pergunta que você precisa perguntar não é se armazenar contas externas no diretório ativo é ruim, mas se o armazenamento de contas na mesma floresta que suas contas internas é ruim. É, pode ser feito, mas eu tendo a concordar com caído que eu não iria colocar as contas externas na mesma floresta com os internos.
No passado, quando usamos uma loja AD colocar conta externa criamos uma nova floresta e colocou os usuários externos lá e, em seguida, confiou os dois domínio. Na minha opinião esta é a melhor opção, porque os mais altos usuários de acesso têm à rede interna é limitada pela confiança e não a conta de um usuário. Se o domínio é composto você sempre pode desligá-lo e você vai saber que nada com acesso lata externa das redes internas. Isso também permite que você tenha diferentes políticas de segurança entre os usuários externos e internos.
