12

既存の Web アプリケーションがあり、カスタム認証ソリューションから Active Directory フェデレーション サービスに移行して、パートナー組織がユーザーの承認を側で管理できるようにしたいと考えています。

現在、このサイトではカスタム データベース テーブルを使用してユーザーを管理し、カスタム ロジックを使用して認証と承認を管理しています。

ユーザーを認証し、ADFS を介してアクセスするパートナー組織に加えて、Active Directory ドメインにいる内部ユーザーがいます。これらのユーザーは、ADFS を介して認証することもできます。

私たちの質問は、外部ユーザーに関するものです。このサイトは個人でも登録できます。これらの個人には、彼らが所属する組織がないため、ADFS を使用して認証を処理することはできません。

これらの個人をサポートする必要があるため、ユーザー アカウントを管理する必要があります。

ADFS は、Active Directory または Active Directory Application Mode アカウント ストアにのみ接続できます。

ADFS はこれらのアカウント ストアのみをサポートしているため、Active Directory ドメインに外部ユーザー用のアカウントを作成することが論理的な解決策のようです。

これは、登録ページを更新して、カスタム データベースに新しいレコードを作成するのではなく、アクティブな Active Directory に新しいユーザー アカウントを作成することを意味します。

それで、これは悪い習慣ですか?組織外のユーザーに AD を使用する必要がありますか? ADFS を使用している場合、他のユーザーはこの種の状況をどのように処理しますか?

4

3 に答える 3

12

外部ユーザー用に新しい AD フォレストを作成します。より優れたセキュリティを設定する必要があるかもしれませんが、2 つを接続してシームレスな認証を行うことができます。

ログオン時に別のドメインを使用するように指示する必要があります (たとえば、通常のユーザーは「mycorp」を使用し、外部ユーザーは「externalcorp」を使用します) が、それ以外は完全に透過的です。

于 2009-02-06T13:38:50.297 に答える
2

はい、外部ユーザーを内部ユーザーと同じ AD に配置することはお勧めできません。外部アカウントを別々に保持し、外部ユーザー認証についてはADAMを調べてください。

于 2009-02-06T13:24:31.123 に答える
2

質問する必要があるのは、Active Directory に外部アカウントを保存することが悪いことではなく、内部アカウントと同じフォレストにアカウントを保存することが悪いことだと思います。それは可能ですが、外部アカウントを内部アカウントと同じフォレストに配置しないというFallenに同意する傾向があります.

過去に AD ストアを使用して外部アカウントを配置したとき、新しいフォレストを作成し、そこに外部ユーザーを配置してから、2 つのドメインを信頼していました。私の意見では、ユーザーが内部ネットワークに対して持つ最高のアクセスは、ユーザーのアカウントではなく信頼によって制限されるため、これがより良いオプションです。ドメインが構成されている場合は、いつでもシャットダウンでき、外部から内部ネットワークにアクセスできないことがわかります。これにより、外部ユーザーと内部ユーザーの間で異なるセキュリティ ポリシーを設定することもできます。

于 2009-02-06T13:42:07.327 に答える