Что “интеграция Active Directory” означает в Вашем приложении.NET?
5 ответов
с точки зрения администраторов я хочу, чтобы интеграция рекламы сделала следующие вещи
- никогда не записывайте обратно к AD, я просто не доверяю стороннему программному обеспечению этой точке
- способность импортировать пользователей из AD
способность установить группу безопасности, например, "Пользователей ApplicationXYZ", чтобы использоваться для распределения программного обеспечения и прав (совместно используемые папки...) при необходимости, но это должно повиноваться номеру 1., таким образом, администратор создает группу безопасности и говорит appserver, какой это.
единая точка входа (помогает по пользовательской причине они только, должна знать их вход в систему окон и осуществляет доменную широкую политику паролей),
деактивированный AD Пользователь или AD Пользователь, который больше не находится в "Пользователях ApplicationXYZ", не должны мочь войти в систему
свяжите AD Группу с Группой приложений, но это было бы дополнительным, я действительно могу жизнь без этого
hth
Как ключ для отображения AD-users/groups для наполнения в приложении я обычно использую Идентификатор безопасности (SID) от AD-user/group.
Поскольку кто-то, кто оба AD Администратор и в настоящее время разрабатывает внутреннее приложение, которое должно быть интегрировано AD, вот является моими мыслями:
- У Пользователей Active Directory есть уникальный GUID; если бы Ваше приложение должно было поддержать и AD и аутентификацию AspNetSqlMembership, то у Вас могло бы быть поле GUID FK в Вашей таблице User/Person и флаге, обозначающем, какой банк сообщений пользователь принадлежал (формы или AD)
- Как администратор, я должен смочь ограничить доступ к своему приложению пользователям под данным OU - я не хочу свой SQL Server или способность учетных записей рабочего BackupExec войти в систему!
- В Вашей документации используйте OU кроме стандарта "Пользователи" OU - большинство реальных реализаций перемещает своих пользователей из этого контейнера, и для администраторов новичка это заверяет, чтобы иметь пример запроса LDAP, который включает OUs (например, MyCompany/Users/Executive или somesuch)
- Если Вы используете AD аутентификацию форм, то возможно, что Вы могли захватить и сделать что-то злонамеренное с паролем. С этим лучше всего имеет дело Ваш юридический департамент в Вашем соглашении о предоставлении услуг / гарантия.
Пользователь входится в систему к Вашему приложению на основании того, чтобы быть входившимся в систему к Windows?
Мне это прежде всего, что означает AD интеграция (кроме привязки Windows :-). Так, например, если организация реализовала вход в систему с открытым ключом, Вы получаете его в своем приложении ни для чего.
Необходимо ли доказать, что процесс входа в систему защищает пароли пользователя?
Необходимо обычно даже не видеть пароль при использовании AD если у Вас нет некоторого NT4 прежней версии вокруг (конечно, не придется сохранить пароль).
Администраторы присваивают пользователей группам безопасности в рамках Вашего приложения или снаружи через AD? Это имеет значение?
Через AD. После единой точки входа главное преимущество состояло бы в том, чтобы смочь использовать любые инструменты AD, Вы имеете администратору безопасности приложение, отчет о полномочиях, создаете ACLs и т.д. Вам не придется переосмыслить этот материал для каждого приложения.
Одно из основных преимуществ использования AD - то, что это позволяет специализированной команде управлять всеми вещами пользователя/предоставлений. Как правило, когда новый пользователь прибывает, его менеджер просит специализированной команде предоставлять ему доступ к приложению B и C, и эта команда может сделать весь этот материал непосредственно от AD. На самом деле они часто копируют другого пользователя (обычно co рабочий).