企業がパートナーの Active Directory にユーザーを作成することを頻繁に要求する場合、またはその逆の場合、AD インスタンス間にフェデレーション/信頼関係を設定することは理にかなっていますか? もしそうなら、何を考慮すべきですか?パートナー AD のユーザーの ACL は引き続き同じように機能しますか? これにより、どのようなセキュリティ リスクが明らかになりますか?
ありがとう!
カ
アップデート:
アプリケーション自体にユーザー ストアをチェックさせることで、これを行うためのより良い方法があることを知りました。これを行う最善の方法は、両方のユーザー ストアが信頼するドメインにアプリケーションを移動することです。以下の回答で詳細を説明しました。
私はこれをもう少し研究してきましたが、良い解決策を見つけました。両方の会社が同じシステムを使用する必要があるため、システム自体は、ユーザーがいずれかのユーザー ストアに存在するかどうかを確認し (認証)、システム レベルで承認する必要があります。
両社にアクセス権を付与することの背後にある考え方は堅実です。共同作業を行っていて、これを行う方法がなかった場合、接続されたユーザー ストアにアクセスせずに、会社のすべてのユーザーを再作成する必要があります。明らかに、これは完全な混乱とメンテナンスの悪夢です。
私の場合、両方の AD が同じ WAN 上にある場合でも、正式なフェデレーションまたは信頼が必要であることがわかりました。ありがたいことに、私たちはすでに両社間で信頼されているドメインを持っているので、パートナーが使用するアプリケーションをこのドメインに移動するだけです。その後は、AD が使用されていることを示すために DNS サフィックスを完全修飾するだけです。次に、アプリケーション固有の ACL が目的のユーザー ストアを参照します。
ええ、両方が複数のドメイン間で人々を認証できるようにしたいのであれば、それは理にかなっています。対象のアプリケーションを備えたサーバーを、認証に使用するすべてのADインスタンスによって信頼されているドメインに配置する必要があります。