Я работаю над архитектурой системы для управляющего фондом / пенсией. Мы предоставляем два веб-приложения ASP.NET MVC; один позволяет членам пенсионного фонда входить в систему и проверять их остатки, управлять своими инвестициями и т. д., а другой - разрешать работодателям делать взносы в фонд от имени работников (участников). Есть также внутренние приложения, доставляемые через интранет.
Мы рассматривали возможность использования Active Directory для хранения, аутентификации / авторизации не только внутренних пользователей (которые уже используют AD для входа в домен и авторизации ресурсов), но и для учетных записей пользователей и работодателей. Учетные записи пользователей и работодателей будут располагаться в другой иерархии (может быть, даже в другом экземпляре AD?) Для внутренних пользователей.
Однако мне интересно, является ли это лучшим вариантом использования для AD ... учитывая, что AD является таким "внутренним" ресурсом, следует ли его использовать для хранения деталей аутентификации для "внешних" пользователей (альтернативой является таблица USERS в базе данных)?
Преимущества: AD спроектирован и оптимизирован для хранения данных такого типа, приложения ASP.NET легко интегрируются с авторизацией AD, возможно, существуют инструменты для работы с данными (сброс пароля и т. Д.).
Каковы риски?