1

既存の .net Web アプリケーションを継承しました。外部ユーザーと内部ユーザーが使用する外部 Web サイトです。内部ユーザーのログイン/認証には、LDAP 認証を使用します。外部ユーザーは別の DB に移動します。

IT 部門は、内部ユーザーのログイン方法を変更したいと考えています。彼らは、外部サーバーが LDAP を使用して AD にアクセスできるようにしたくありません。外部サーバーから AD にアクセスするためのより安全な方法はありますか? それとも、まったくお勧めできませんか?

また、ログインの設計に欠陥はありますか? 内部ユーザーと外部ユーザーは同じ方法でログインする必要がありますか? ユーザーのログインに関するベスト プラクティスと見なされるものは何ですか?

4

1 に答える 1

2

これには ADFS (Active Directory フェデレーション サービス) を使用できます。

これには、ネットワーク内に ADFS サーバーをインストールする必要があります (AD に接続できるようにするため)。

ADFS サーバーには Web ベースの STS (Security Token Service) が含まれており、Web ページが AD アカウントを使用してログインできるようになっています。

基本的には、次のように動作します。

  1. ユーザーが外部 Web アプリケーションに移動します
  2. Web アプリケーションは、ユーザーを ADFS STS サーバーにリダイレクトします。
  3. ADFS STS サーバーは、(統合セキュリティまたは Web ベースのログイン ボックスを使用して) 資格情報を確認します。
  4. ADFS STS サーバーが資格情報に満足している場合、追加情報としてログイン トークンを使用してユーザーを外部 Web アプリケーションにリダイレクトします。このトークンには、ユーザーに関する情報が含まれています (構成可能)。ADFS サーバーによって署名され (情報が本物であることを確認するため)、オプションで暗号化することができます。
  5. 外部 Web アプリケーションはトークンを抽出し、署名をテストします。すべてが正しければ、Web アプリケーションはユーザーが持つべきパーミッションを付与します。

ASP.NET アプリケーションでこれを設定する方法については、次の URL を参照してください 。 aware-asp-net-application-and-integrating-it-with-adfs-2-0-security-token-service-sts.aspx

于 2012-12-06T21:24:38.967 に答える