Приложение Active Directory Support, что именно это означает?

Question

Я могу проверить пользователя в активном каталоге, если он существует, я даю ему разрешение на открытие окна приложения, но что если приложение имеет много уровней разрешения? Могу ли я создать специальные группы разрешений в активной директории и проверить, принадлежит ли пользователь одному из них? , Может ли приложение войти в систему автоматически, или всегда нужно вводить пароль?

Answer 1

Active Directory может выполнять две связанные, но отдельные функции для приложения: авторизацию и аутентификацию.

Аутентификация подтверждает, что человек, использующий ваше приложение, является действительным пользователем. Если у вас есть учетные данные пользователя (т. Е. Приложение запрашивает у пользователя его имя пользователя и пароль), вы можете аутентифицировать их по AD, пытаясь установить соединение, используя их имя пользователя и пароль.

Авторизация - это то, что позволяет вам определять уровень разрешений, которые конкретный пользователь имеет в вашем приложении. Группы Active Directory - это относительно простой и гибкий способ реализации различных уровней разрешений. Как правило, я создаю очень детализированные группы разрешений, которые представляют каждое защищаемое действие, которое пользователи могут выполнять в приложении (т.е. CanDeleteWidgets, CanAddWidgets, CanEditWidgets). Затем создайте функциональные группы или группы ролей, в которые вы помещаете пользователей для этой роли (т. Е. Менеджеров, координаторов, техников и т. Д.). Наконец, вы просто вкладываете группы ролей в группы разрешений, поэтому, если, например, бизнес-требование заключается в том, что менеджеры могут удалять виджеты, вы добавляете группу менеджеров в качестве члена группы CanDeleteWidgets. Хотя это может показаться более сложным, это чрезвычайно упрощает реагирование на изменяющиеся требования безопасности бизнеса (т. Е. «Технический специалист должен иметь возможность удалять виджеты»). Это просто. Добавьте группу ролей технических специалистов в группу разрешений CanDeleteWidgets, и вы сделано).

Что касается автоматического входа в систему, то да, существует несколько способов автоматического входа пользователя. Для приложений winforms вы должны просто иметь возможность захватить текущего пользователя и использовать его. Для веб-приложений, если вы можете использовать встроенную аутентификацию, вы получите то же самое. Ваш веб-сервер будет обрабатывать часть аутентификации и отправлять через DOMAIN \ USERNAME пользователя в переменной заголовка сервера.