12

我们有一个现有的 Web 应用程序,我们希望从自定义身份验证解决方案迁移到 Active Directory 联合身份验证服务,以便我们的合作伙伴组织可以管理其用户的授权。

目前,该站点正在使用自定义数据库表来管理用户,并使用自定义逻辑来管理身份验证和授权。

除了将对其用户进行身份验证并通过 ADFS 获得访问权限的合作伙伴组织之外,我们还有位于我们的 Active Directory 域中的内部用户。这些用户也可以通过 ADFS 进行身份验证。

我们的问题围绕着我们的外部用户。该网站还允许个人注册。这些人没有为他们工作的任何组织,因此我们不能使用 ADFS 来处理他们的身份验证。

由于我们需要支持这些人,我们需要管理他们的用户帐户。

ADFS 只能连接到 Active Directory 或 Active Directory 应用程序模式帐户存储。

由于 ADFS 仅支持这些帐户存储,因此合乎逻辑的解决方案似乎是在我们的 Active Directory 域中为外部用户创建帐户。

这意味着我们将更新我们的注册页面以在 Active Active Directory 中创建新用户帐户,而不是在我们的自定义数据库中创建新记录。

那么,这是一种不好的做法吗?AD 应该用于组织外部的用户吗?其他人在使用 ADFS 时如何处理这种情况?

4

3 回答 3

12

为您的外部用户创建一个新的 AD 林,您可能需要设置一些更好的安全性,但可以将两者连接起来进行无缝身份验证。

您需要告诉他们在登录时使用不同的域(例如,您的普通用户使用“mycorp”,外部用户使用“externalcorp”),否则它是完全透明的。

于 2009-02-06T13:38:50.297 回答
2

是的,将外部用户与内部用户放在同一个 AD 中是不好的做法。将外部帐户分开,并检查ADAM以进行外部用户身份验证。

于 2009-02-06T13:24:31.123 回答
2

我认为您需要问的问题不是将外部帐户存储在活动目录中是否不好,而是将帐户存储在与您的内部帐户相同的森林中是否不好。可以做到,但我倾向于同意 Fallen 的观点,即我不会将外部帐户与内部帐户放在同一个森林中。

过去,当我们使用 AD 存储放置外部帐户时,我们创建了一个新林并将外部用户放置在其中,然后信任这两个域。在我看来,这是更好的选择,因为用户对内部网络的最高访问权限受到信任而不是用户帐户的限制。如果域是包含的,您可以随时将其关闭,并且您会知道外部的任何东西都无法访问内部网络。这还允许您在外部和内部用户之间拥有不同的安全策略。

于 2009-02-06T13:42:07.327 回答