с точки зрения администраторов я хочу, чтобы интеграция рекламы сделала следующие вещи
способность установить группу безопасности, например, "Пользователей ApplicationXYZ", чтобы использоваться для распределения программного обеспечения и прав (совместно используемые папки...) при необходимости, но это должно повиноваться номеру 1., таким образом, администратор создает группу безопасности и говорит appserver, какой это.
единая точка входа (помогает по пользовательской причине они только, должна знать их вход в систему окон и осуществляет доменную широкую политику паролей),
деактивированный AD Пользователь или AD Пользователь, который больше не находится в "Пользователях ApplicationXYZ", не должны мочь войти в систему
свяжите AD Группу с Группой приложений, но это было бы дополнительным, я действительно могу жизнь без этого
hth
Как ключ для отображения AD-users/groups для наполнения в приложении я обычно использую Идентификатор безопасности (SID) от AD-user/group.
Поскольку кто-то, кто оба AD Администратор и в настоящее время разрабатывает внутреннее приложение, которое должно быть интегрировано AD, вот является моими мыслями:
Пользователь входится в систему к Вашему приложению на основании того, чтобы быть входившимся в систему к Windows?
Мне это прежде всего, что означает AD интеграция (кроме привязки Windows :-). Так, например, если организация реализовала вход в систему с открытым ключом, Вы получаете его в своем приложении ни для чего.
Необходимо ли доказать, что процесс входа в систему защищает пароли пользователя?
Необходимо обычно даже не видеть пароль при использовании AD если у Вас нет некоторого NT4 прежней версии вокруг (конечно, не придется сохранить пароль).
Администраторы присваивают пользователей группам безопасности в рамках Вашего приложения или снаружи через AD? Это имеет значение?
Через AD. После единой точки входа главное преимущество состояло бы в том, чтобы смочь использовать любые инструменты AD, Вы имеете администратору безопасности приложение, отчет о полномочиях, создаете ACLs и т.д. Вам не придется переосмыслить этот материал для каждого приложения.
Одно из основных преимуществ использования AD - то, что это позволяет специализированной команде управлять всеми вещами пользователя/предоставлений. Как правило, когда новый пользователь прибывает, его менеджер просит специализированной команде предоставлять ему доступ к приложению B и C, и эта команда может сделать весь этот материал непосредственно от AD. На самом деле они часто копируют другого пользователя (обычно co рабочий).