私たちの組織には、Active Directory アカウントを持つユーザーが主に内部で使用する Web アプリケーションがあります。現在、各アプリケーションは独自の AD アカウントで実行されています。データ アクセスのために、データベース側のアプリケーション AD アカウントへのアクセスを許可します。
DBA は、監査上の理由から、これをやめたいと考えています。彼は、アプリケーションからの各データ リクエストに、アプリケーションの AD 資格情報ではなく、ログインしているユーザーの AD 資格情報が付属することを望んでいます。これはなりすましを使用して達成されるものであることを理解しています。これは推奨される方法ですか?メリットとデメリットは?これを行うより良い方法はありますか?
ありがとう。
以下を web.config に追加します。
<configuration>
<system.web>
<identity impersonate="true"/>
</system.web>
</configuration>
Web サーバーは「認証されたユーザーを偽装」し、DBA はユーザーのネットワーク ID を確認します。構成ファイルを使用して、特定のユーザーを偽装することもできます。
<identity impersonate="true" userName="user" password="pwd" />
しかし、それはこの場合、DBA が探しているものではありません。
はい、「なりすまし」は奇妙に聞こえるかもしれませんが、これは内部ネットワークで Web アプリケーション ユーザーを認証する完全に標準的な方法です。Web サーバーは現在、一般的なアプリケーション ユーザーの名前ではなく、ユーザーの名前でこれらのことを行っているため、各ユーザーが必要なすべてのことを行うために必要なフォルダーのアクセス許可などを持っていることを確認する必要があります。ユーザーが以前は実行できた操作を実行しようとして、アクセスが拒否されると、これらのアクセス許可の問題についてすぐに耳にします。しかし、それぞれに必要な許可が与えられれば、問題ありません。