1

次のように、外部サイトへのアクセスを制限する必要があります。

  • 企業ネットワーク内のユーザーは、サイトの機能に完全にアクセスできます。
  • そうでない人 - 機能が制限されているだけです。

企業ネットワークでは、ユーザーは Windows ドメインに対して認証を行います。ネットワークでは、本人確認を行うことができるサーバー/サービスをセットアップできます。これは安全です。特に内部にある場合は間違いありません。

外部サイトはドメインの一部ではありません。

私が自分自身に提案するのは、認証されたユーザーに対してサービスをセットアップし、安全なトークンを作成してから、ユーザーを外部サイトにリダイレクトすることです。ユーザーがパスワードを入力せずに認証されるようにします (ログインすらしない可能性があります)。

私は疑問です:これはどのように行うことができますか?これはどのくらい安全ですか?重い/暗号化された開発はどれくらいありますか?

安全なトークンは時間制限があり、外部サイトと内部認証サービスの両方が SSL/TLS (対称/非対称キー?) をサポートする必要があると思います。ここで何か不足していますか?確かに、私はそうですが、何ですか?

4

1 に答える 1

2

外部サイトを SAML 2.0 サービス プロバイダー (SP) にします。

内部 SAML 2.0 ID プロバイダー (IdP) をセットアップして、SAML 2.0 ADFS で企業ユーザーを認証します。SP が開始する SSO を使用し、HTTP-POST を使用して IdP にハンドオフするように外部サイトを構成します。

IdP は、ActiveDirectory ドメインにログインしているユーザーを NTLM に透過的に対応するブラウザーで認証するように構成できます。それらを認証し、その旨のアサーションに署名して、それらを外部サイトにリダイレクトするだけです。NTLM を持っていない場合は、最初にドメイン資格情報の入力を求められます。

更新: @Steve が指摘したように、外部サイトは引き続き外部ユーザーを認証する必要があります。外部サイトを SAML SP にしても問題は解決しません。外部 Web サイトに組み込み認証を実行させるか、外部ユーザー用に別の SP エンドポイント (URL) を用意して別の IdP を使用することができます。

于 2015-07-01T21:09:50.030 に答える