Аутентификация и авторизация Active Directory для приложения

Question

Аутентификация и авторизация Active Directory для приложения

В настоящее время все наши приложения основаны на веб-технологиях, и наш механизм аутентификации и авторизации всегда осуществляется через базу данных. например, базы данных для входа и контроля доступа, определенные в базе данных. Однако сейчас мы думаем об изменении этого подхода и использовании активного каталога для аутентификации и авторизации.

Итак, нам нужно создать учетные записи AD (даже для наших пользователей, выходящих из Интернета) и назначить элементы управления доступом с помощью диспетчера авторизации? Это как обычно это делается? Какие плюсы и минусы для этого? Я полагаю, что для метода AD нашим внутренним сотрудникам могут быть предоставлены права доступа к печати на секретном принтере для конфиденциальной информации (например), но с использованием базы данных это будет сложно?

И, наконец, нужно ли сохранять одинаковый набор ролей / групп прав доступа в базе данных и AD одновременно? Если в этом нет необходимости, значит ли это, что приложение может просто вызвать API для проверки необходимых ролей из AD direct? Спасибо

1

active-directory authentication database authorization

Источник

Pang Ser Lark 26 авг '15 в 01:13

1 ответ

Решение

Другие вопросы по тегам active-directory authentication database authorization

Bob 26 авг '15 в 19:56 2015-08-26 19:56 · Accepted Answer · 2015-08-26 19:56

Привязка ваших приложений к вашей AD может быть осуществлена с помощью решения для единого входа (веб-печать), такого как (среди прочего) IBM Tivoli Access Management. Это требует от вас создания учетных записей объектов (пользователей, систем и компьютеров), установки разрешений через группы, реализации входа в систему веб-печати и интерфейса аутентификации для каждого отдельного целевого приложения.

Итак, нам нужно создать учетные записи AD (даже для наших пользователей, выходящих из Интернета) и назначить элементы управления доступом с помощью диспетчера авторизации? Это как обычно это делается? Какие плюсы и минусы для этого?

Интеграция Web-печати с AD и приложениями обычно используется пользователями Intra/Extranet. Можно распространить это и на пользователей Интернета, создавая учетные записи AD с помощью пакетной обработки, но я лично не рекомендовал бы это. Например, представьте, что ваша AD скомпрометирована. У вас будет гораздо большая проблема, чем "только" неавторизованные люди, взломавшие одно приложение.

Другим преимуществом AD является обслуживание пользователей, SoD (на уровне приложения - представьте, если у вас две системы: одна для продаж, а другая для платежей), один пароль и так далее...

И, наконец, нужно ли сохранять одинаковый набор ролей / групп прав доступа в базе данных и AD одновременно? Если в этом нет необходимости, значит ли это, что приложение может просто вызвать API для проверки необходимых ролей из AD direct?

Вы должны либо использовать один или другой. И то и другое не имеет смысла. В IBM TAM есть компонент, который взаимодействует с приложением, отправляя настраиваемые параметры, которые также могут включать в себя уровень доступа.