Как аутентифицировать пользователей на клиентском (удаленном) сервере активных каталогов

Question

Мы разрабатываем веб-приложение для размещения в нашей сети, но клиент желает, чтобы мы «синхронизировали» его (удаленный) активный каталог.

По сути, они хотели бы войти в нашу сетьприложение, используя свои учетные данные AD.

Ключевым моментом является то, что веб-приложение (наше) и каталог AD (их) находятся в двух совершенно отдельных и отключенных сетях.

Какие инструменты и / или стратегии вы рекомендуете предоставитьэтот сервис?

Наше веб-приложение - c # / IIS.

Answer 1

Этот сценарий является одним из основных сценариев, поддерживаемых Windows Identity Foundation (WIF), при условии, что они могут представить свою AD в качестве службы маркеров безопасности (STS).Они могут сделать это с помощью ADFS 2. Общий подход называется федерацией идентификации.WIF очень хорошо интегрируется с ASP.Net.

В Интернете много документации о WIF и федерации удостоверений с ADFS 2. Например, попробуйте this , а также документацию для инструментов WIF SDK и Visual Studio.

Answer 2

Как я уже писал здесь ...

Насколько я понимаю, есть три возможных решения:

1. Установка чего-либо на контроллере домена для сбора всех пользовательских изменений (добавления, удаления, изменения пароля) и отправки обновлений на удаленный сервер. К сожалению, у веб-сайта нет возможности узнать первоначальные пароли пользователей - только новые после их изменения.

2. Предоставьте веб-серверу доступ к вашему контроллеру домена через LDAP / WIF / ADFS. Вероятно, это будет означать открытие входящих портов в брандмауэре компании для разрешения определенного IP-адреса.

3. В противном случае обходите имена пользователей / пароли и используйте аутентификацию на основе электронной почты . Пользователи просто должны будут проходить аутентификацию по электронной почте раз в 3-6 месяцев для каждого устройства.

Я должен начать реализацию этого для будущего проекта, и я серьезно склоняюсь к варианту №3 для простоты.