Единый вход - из Active Directory нашего клиента

Question

У нас есть веб-сайт ASP.NET MVC, на который клиент запрашивает единый вход Active Directory. Я думаю, что нам нужно что-то за их брандмауэром, чтобы отправлять зашифрованные учетные данные или идентификатор пользователя на наш сервер ... любые передовые практики или продукты, которые делают это, были бы чрезвычайно полезны!

Edit:

Мы пытаемся сделать это максимально безопасным, беспроблемным, масштабируемым (у нас будет более одного клиента) и максимально экономически эффективным. Первоначально я думал, что нам может потребоваться какое-то устройство, которое просто выполняет вход в систему, считывая их учетные данные AD, и, как только это будет достигнуто, оно передается в действующее веб-приложение на нашем сервере ...

Answer 1

В итоге мы создали решение с использованием OpenID. Клиент открывает порт 80 своего брандмауэра, и мы отображаем страницу входа (OpenID IdP), которая устанавливает безопасное соединение с нашим OpenID RP, расположенным на нашем сервере.

Answer 2

Способы, которые я видел в прошлом, заключались в том, чтобы настроить VPN, чтобы веб-сервер и его Active Directory могли обмениваться данными через безопасное соединение. Выделенное соединение между сайтами лучше, поскольку VPN могут быть ненадежными / ненадежными для согласованности. Если скорость соединения между физическими местоположениями не так велика, я бы посмотрел на использование контроллера домена только для чтения в той же сети, что и веб-сервер. Опять же, используя VPN / выделенную линию для подключения к домену. Я замутил детали того, что для этого нужно, так как лучше ответить на Ошибка сервера

Пока веб-сервер может обмениваться данными с контроллером домена, вам не нужно делать ничего другого, кроме изменения конфигурации, чтобы указывать информацию о своем домене.