Si tratta di una cattiva pratica di mettere gli utenti esterni in Active Directory?
https://stackoverflow.com/questions/520266
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Abbiamo un'applicazione Web esistente e vogliamo migrare da una soluzione di autenticazione personalizzata per Active Directory Federation Services in modo che le nostre organizzazioni partner possono gestire l'autorizzazione dei loro utenti dalla loro parte.
In questo momento il sito utilizza le tabelle del database personalizzate per gestire utenti e logica personalizzata per gestire l'autenticazione e l'autorizzazione.
Oltre alle organizzazioni partner in grado di autenticare i propri utenti e ottenere l'accesso tramite ADFS, abbiamo gli utenti interni che si trovano nel nostro dominio Active Directory. Questi utenti possono anche essere autenticati tramite ADFS.
La nostra domanda ruota intorno ai nostri utenti esterni. Questo sito permette anche alle persone di registrarsi. Questi individui non hanno alcuna organizzazione per cui lavorano, in modo da non possiamo utilizzare ADFS per gestire l'autenticazione.
Dal momento che abbiamo bisogno di sostenere queste persone, abbiamo bisogno di gestire i loro account utente.
ADFS può connettersi solo ad Active Directory o archivi account Active Directory Application Mode.
Dal ADFS supporta solo questi archivi account, sembra che la soluzione logica è quella di creare account per gli utenti esterni nel nostro dominio Active Directory.
Questo significherebbe che avremmo aggiorniamo i nostri pagine di registrazione per creare nuovi account utente in Active Directory attivo, piuttosto che la creazione di nuovi record nel nostro database personalizzato.
Quindi, si tratta di una cattiva pratica? Nel caso AD essere utilizzato per gli utenti esterni alla propria organizzazione? Come fanno gli altri gestire questo tipo di situazione quando si utilizza ADFS?
Soluzione
Crea un nuovo insieme di AD per gli utenti esterni, potrebbe essere necessario impostare qualche maggiore sicurezza, ma i due possono essere conencted per l'autenticazione senza soluzione di continuità.
Avrete bisogno di dire loro di utilizzare un dominio diverso quando si accede (ad esempio, gli utenti normali utilizzano 'mycorp', esterni usano 'externalcorp') ma per il resto è totalmente trasparente.
Altri suggerimenti
Si, è cattiva pratica di mettere gli utenti esterni nella stessa dC come gli utenti interni. Tenere una contabilità separata esterni e controllare ADAM per l'autenticazione degli utenti esterni.
Credo che la domanda è necessario chiedere se non è la memorizzazione di conti con l'estero in Active Directory è male, ma se la memorizzazione conti nella stessa foresta come i vostri conti interni è male. Si, si può fare, ma tenderebbe a concordare con caduto che non avrei messo i conti con l'estero nella stessa foresta con quelli interni.
In passato, quando abbiamo usato un negozio AD di inserire account esterno abbiamo creato una nuova foresta e messo gli utenti esterni in là e poi fidati i due dominio. A mio parere questo è l'opzione migliore, perché i più alti utenti hanno accesso alla rete interna è limitata dalla fiducia e non l'account di un utente. Se il dominio è composto si può sempre spegnerlo e saprete che niente con esterno può accedere alle reti interne. Questo permette anche di avere diverse politiche di sicurezza tra gli utenti interni ed esterni.
