1

我需要限制对外部站点的访问,以便:

  • 公司网络中的用户可以完全访问网站的功能,
  • 那些不是 - 只有有限的功能。

在企业网络中,用户确实针对 Windows 域进行身份验证。在网络中,我可以设置一个可以进行身份​​验证的服务器/服务。这是安全的,我毫不怀疑,尤其是当它在里面的时候。

外部站点不是域的一部分。

我对自己的建议是设置一个服务,该服务将对用户进行身份验证,创建一个安全令牌,然后将用户重定向到外部站点。这样用户就可以在那里进行身份验证而无需输入密码(甚至可能没有登录)。

我有疑问:如何做到这一点?这有多安全?有多少重度/加密货币开发?

我假设安全令牌应该是有时间限制的,外部站点和内部身份验证服务都应该支持 SSL/TLS(对称/非对称密钥?)。我在这里错过了什么吗?当然,我是,但什么?

4

1 回答 1

2

使外部站点成为 SAML 2.0 服务提供商 (SP)。

设置内部 SAML 2.0 身份提供者 (IdP) 以使用 SAML 2.0 ADFS 对企业用户进行身份验证。使用 SP 发起的 SSO 并将外部站点配置为使用 HTTP-POST 移交给您的 IdP。

可以将 IdP 配置为使用能够透明地支持 NTLM 的浏览器对登录到 ActiveDirectory 域的用户进行身份验证。它应该只对它们进行身份验证并签署一个断言,然后将它们重定向回外部站点。如果他们没有 NTLM,将首先提示他们输入域凭据。

更新:正如@Steve 所指出的,外部站点仍然需要对外部用户进行身份验证。使您的外部站点成为 SAML SP 并不能解决这个问题。您可以让外部网站执行一些内置身份验证,或者您可以为外部用户使用不同的 SP 端点 (URL),并为他们使用另一个 IdP。

于 2015-07-01T21:09:50.030 回答