Служба Active Directory WCF

Question

Мне интересно, какие решения / опции у меня могут быть для управления аутентификацией и авторизацией пользователей с помощью AD? Я нахожусь в ситуации, когда мы хотим использовать учетные записи AD / группы / и т. Д. Для управления нашими пользователями, как внутренними, так и внешними. Я нашел эту статью (http://blog.waleedmohamed.net/2009/12/create-active-directory-service-using.html), в которой показана простая служба WCF, представляющая некоторые операции AD.

Моя идея заключается в создании службы AD WCF, которую несколько приложений могут использовать для операций CRUD учетной записи и других необходимых функций, таких как вход в систему и восстановление пароля. Является ли это хорошей идеей иметь услугу с такой мощью? Мы подумываем о том, чтобы служба использовала учетную запись, у которой есть только разрешения на определенные OU для ограничения ее мощности.

Спасибо!

Answer 1

Многие операции CRUD могут выполнять только администраторы домена. В качестве одного из подходов это потребовало бы, чтобы служба WCF работала как администратор домена, и в этом случае, вероятно, очень опасно, если кто-то сможет взломать и запустить код.

Аутентификация Windows не будет работать (в IIS) для передачи токена аутентификации на DC, поскольку, скорее всего, IIS не работает на DC.

С другой стороны, пользователь может передать имя пользователя / пароль в безопасном сеансе (возможно, через SSL), и он будет использоваться для подключения к контроллеру домена. Пока вы можете это обезопасить, все будет хорошо.

Answer 2

Я задал похожий вопрос, а также смог найти только тот ресурс, который вы нашли. Мне нравится идея, поскольку у меня есть несколько внутренних приложений, которые взаимодействуют с AD, уже используя библиотеку AD Helper, которую я создал. Я хочу создать службу WCF из этой библиотеки AD Helper, чтобы иметь одно приложение для обслуживания, если мне нужно будет добавить или исправить функциональность, а не пересматривать каждое приложение, использующее библиотеку AD Helper.

Моя задача - заново изобрести колесо. Я не хочу реализовывать то, к чему у MS уже может быть реализация. Мне было предложено взглянуть на веб-службы Active Directory, чтобы узнать, выполняет ли это то, что я уже реализовал в своей библиотеке AD Helper. Из того, что я могу сказать, это просто еще один способ взаимодействия с AD, который я уже использую, используя пространство имен System.DirectoryServices.

Я думаю, что при правильной реализации это было бы отличным дополнением к любой среде разработки для более равномерной интеграции их внутренних приложений с Active Directory и централизации обслуживания этой реализации.

Answer 3

Я бы уделил много внимания внедрению безопасности для службы WCF, например, на порт 443 (SSL). Также приходит на ум ограничение доступа к серверу определенным диапазоном IP-адресов (IIS).