Как вы используете Active Directory в «размещенном решении»?

Question

Вчера мне позвонил представитель Microsoft с вопросом, поставляем ли мы «размещенные решения», предположительно, в рамках масштабного продвижения Windows Azure. Как только я позвонил, наш директор по маркетингу пришел в мой офис и сказал, что большинство наших клиентов требуют интеграции Active Directory в следующей версии. Тогда мне пришло в голову: как использовать Active Directory в «размещенном решении», если приложение не живет в сети клиента?

В качестве более общего вопроса об интеграции Active Directory, какие функциональные изменения это обычно подразумевает для приложения? Означает ли это, что пользователь вошел в приложение только путем аутентификации в Active Directory, или это означает, что приложение получает свой список пользователей из Active Directory, или создание новых пользователей или групп в приложении создает новых пользователей или группы в Active Directory

Я только что попал под перекрёстный огонь войны модных слов?

Answer 1

Ты нет. Active Directory можно запустить через общедоступный Интернет, хотя это значительно усложняет безопасность и настройку сети.

Как правило, проверка подлинности приложения в Active Directory означает, что ваш поставщик членства (например) будет вызывать Active Directory для выполнения проверки подлинности, и после этого пользователь просто входит в систему; Вы не храните активные учетные данные и т. д. в своей собственной базе данных. Однако я бы посоветовал также кешировать эту информацию и быть готовым к аутентификации по этому кешу в дополнение к каталогу, если контроллер домена недоступен для аутентификации (особенно большой риск, если вы запускаете каталог через Интернет).

Answer 2

Вы можете использовать федеративные службы Active Directory для включения аутентификации с использованием AD через Интернет между двумя организациями. Смотри: http://technet.microsoft.com/en-us/library/cc786469.aspx

Я никогда не использовал это, только читал об этом. Надеюсь, это поможет.

Answer 3

Принятый ответ объясняет роль Active Directory, и я согласен, что кэширование основной пользовательской информации может быть полезным во многих случаях.

Active Directory можно расширить вне корпоративной сети, подключить к Интернету и подключенным веб-службам. Как упомянул другой пользователь, это достигается с помощью ADFS (службы федерации Active Directory), которая позволяет устанавливать «доверенные» соединения между отдельными службами проверки подлинности. В рамках вебинаров «Office 365 Jump Start» было объяснено несколько сценариев: http://technet.microsoft.com/en-us/edge/office-365-jump-start-04-microsoft-office-365-identity-and-access-solutions

После просмотра я сразу подумал, что «размещенные» службы AD и ADFS будут полезны, когда клиент не хочет обслуживать серверы AD внутренне (Microsoft не рекомендует использовать менее 5 отдельных серверов, если Вы делаете это!) Недавно Microsoft также запустила свою облачную платформу Azure. Одна из предоставляемых ими услуг помечена «Идентичность», которую вы можете увидеть здесь: http://www.windowsazure.com/en-us/services/identity/

Это собственное решение Microsoft для размещенных служб AD. На самом деле, они даже упоминают об использовании своего хост-сервиса «Идентичность» в качестве решения для единого входа (Office) для Office 356 и даже веб-приложений Google.

Я все еще узнаю об AD и облачных предложениях Microsoft, но надеюсь, что это направит вас в правильном направлении.

Answer 4

Здесь есть статья: http://www.developerfusion.com/article/121561/integrating-active-directory-into-azure/, в которой подробно описывается, как интегрировать Active Directory с Azure - надеюсь, это поможет.

Answer 5

Лучше всего использовать настоящую хостинговую инфраструктуру, если вам нужна поддержка любая от MS.

Я уверен, что вам понадобятся ссылки:

• HMC (размещение сообщений и совместная работа)

• ЕДИНСТВЕННЫЙ истинный блог о фреймворке, о котором я знаю, взят из Кип-нг

• Форумы ASP.NET также являются хорошим ресурсом для вопросов по Framework.

• Примером работы по настройке мультитенантности AD для Exchange является здесь , хотя он основан на более старой версии платформы, к которой применимы многие из тех же принципов.

Также попробуйте выполнить поиск по ключевому слову multitenancy для некоторых статей.

Answer 6

Active Directory может быть запущен через общедоступный Интернет, но вы можете столкнуться с задержками, которые могут привести к зависанию или аварийному завершению работы вашего приложения в зависимости от пропускной способности. В прошлом я настраивал учетные записи в другой компании ultradns.com, которая специализируется на таких сценариях. надеюсь, это поможет.