Имеет ли смысл устанавливать доверительные отношения между экземплярами Active Directory в компаниях-партнерах?
-
07-07-2019 - |
Вопрос
Если компания часто требует, чтобы пользователи создавались в active directory партнера, и наоборот, имеет ли смысл устанавливать федеративные / доверительные отношения между экземплярами AD?Если да, то что следует учитывать?Работает ли ACL для пользователей в партнерской рекламе по-прежнему таким же образом?Каким рискам безопасности это подвергает?
Спасибо!
КА
Обновить:
Я узнал, что есть лучший способ сделать это, заставив само приложение проверять пользовательские хранилища.Лучший способ сделать это - переместить приложение в домен, которому доверяют оба пользовательских хранилища.Я предоставил более подробную информацию в своем ответе ниже.
Решение
Да, это имеет смысл, если вы хотите, чтобы оба могли аутентифицировать людей в нескольких доменах.Вы должны поместить сервер, на котором установлено приложение, на которое вы ориентируетесь, в домен, которому доверяют все экземпляры AD, которые вы хотите использовать для аутентификации.
Другие советы
Я еще немного изучил этот вопрос и нашел хорошее решение.Поскольку обеим компаниям необходимо использовать одну и ту же систему, самой системе просто необходимо проверить, существует ли пользователь в любом из пользовательских хранилищ (аутентификация), а затем выполнить авторизацию на системном уровне.
Идея предоставления доступа обеим компаниям основательна - если бы мы работали вместе и у нас не было способа сделать это, нам нужно было бы заново создать всех пользователей из компании без доступа в хранилище подключенных пользователей.Очевидно, что это был бы полный беспорядок и кошмар обслуживания.
Я обнаружил, что в моем случае, даже несмотря на то, что оба объявления находятся в одной глобальной сети, необходимо иметь официальную федерацию или доверие.К счастью, у нас уже есть домен, которому доверяют обе компании, так что мне просто нужно перенести приложения, используемые партнерами, в этот домен.После этого остается только полностью указать DNS-суффикс для обозначения используемого объявления.Затем списки управления доступом для конкретного приложения ссылаются на желаемое пользовательское хранилище.