Аутентификация пользователей ASP.NET в Active Directory: кто управляет пользователями и группами?

Question

Проект, над которым я работаю, должен аутентифицировать пользователей против AD. Я никогда раньше не работал с AD, и при этом я не работал в организациях, которые используют AD, поэтому вот мой глупый вопрос: в случае, если AD задействован, кто управляет ролями, группами и пользователями для приложения? Я обязан предоставить администратору сайта пользовательский интерфейс для назначения пользователей AD на роли моего приложения, или администраторы AD должны позаботиться о создании соответствующих групп, ожидаемых моим приложением, и назначить там существующих пользователей AD?

Каковы лучшие практики в этом отделе?

---

Стоит заметить, что это не собственное приложение, поэтому оно должно работать с существующим AD. Вопрос в том, ожидают ли мои роли, такие как «Учителя» и «Студенты» (просто чтобы проиллюстрировать это), могу ли я ожидать, что ИТ-специалисты создадут соответствующие группы в AD и назначат для них пользователей?

Answer 1

Я не думаю, что вы должны предоставить графический интерфейс для активного каталога. Большинство организаций, использующих активный каталог, управляют им с помощью стандартных инструментов активного каталога.

Если вы хотите заняться делом небольших магазинов. Затем создайте группы внутри базы данных приложения. Вы по-прежнему сможете использовать активных пользователей каталога. Но управление группой и ее членство будут внутренними для вашего приложения. Это позволит избежать большинства проблем, связанных со сложными правилами активного каталога, и при этом использовать единый вход.

Еще одна вещь, которую стоит отметить. Имена групп должны быть настраиваемыми. Большинство мест имеют соглашение об именах для имен групп.

Answer 2

Если вы пишете это приложение для другой компании, я думаю, вы могли бы предположить, что они будут отвечать за управление пользователями и группами AD. Вам просто нужно согласовать с клиентами, какие роли / группы будет использовать ваше приложение.

Answer 3

Это действительно зависит от того, кому принадлежит AD и кто будет отвечать за управление учетными записями пользователей. Если это объявление изолировано от вашего совместного домена, и вы хотите, чтобы ваша поддержка или продажи, или другой деловой человек управляли учетными записями, то непременно создайте для них инструмент администратора.

Если вы пытаетесь подключиться к существующей AD, вам следует тесно сотрудничать с вашим ИТ-отделом, и он, вероятно, захочет создать учетные записи по-своему (особенно, если вы используете существующие учетные данные).

По сути, это сводится к тому, как работают ваши ИТ-специалисты, и какие именно отношения между AD, который вы используете, и AD, на котором работает сайт совместного предприятия.

Отредактировано

На основании вашей дополнительной информации, я думаю, вам нужно предложить консоль администратора. Особенно, если вы хотите нацелиться на небольшие магазины. Ваше решение должно сделать его необязательным, поэтому, если они хотят использовать пользовательский интерфейс администратора, они могут, но если ИТ-отдел хочет, например, использовать Powershell, они могут сделать это также.