Active Directory и сторонние облачные сервисы - безопасность?

Question

Вопрос относительно сценария Active Directory: стороннее программное обеспечение, размещаемое в облаке, предлагает SSO в связи с Active Directory, который мы запускаем в нашей сети.

Глупый вопрос, но разве это не большойУгроза безопасности при предоставлении внешнему приложению в облаке доступа к AD в нашей сети?Я вижу очень много приложений, которые поддерживают SSO, и они размещены в облаке, но у меня действительно есть сомнения относительно безопасности в этом случае.Я вообще не специалист по рекламе, так что вы можете меня просветить?

Спасибо.

Answer 1

Ваш локальный Active Directory никогда не должен открываться напрямую для доступа из Интернета.Active Directory поддерживает симметричные ключи для своих пользователей, которые используются в протоколе Kerberos, которые очень чувствительны к утечкам.

Если приложение, размещенное в Интернете, хочет использовать Active Directory для аутентификации пользователей, они могут использовать federation .Для этого Microsoft предоставляет ADFS (сервис, который вы будете запускать локально с ADFS-прокси в DMZ) или Azure AD в облаке.