Лучшая практика для связи пользователя AD LDS с пользователем AD

Question

У нас есть приложение, которое использует AD LDS (ADAM), которое содержит расширенный пользовательский класс (настраиваемые атрибуты, специфичные для нашего приложения).Один из наших клиентов хочет, чтобы наши пользователи были связаны с пользователями своего домена (AD).Когда они создают пользователя в своей системе, пользователь на нашей стороне должен быть создан.Когда они удаляют пользователя в своей системе, соответствующий пользователь должен быть удален на нашей стороне.То же самое с основными свойствами (имя, адрес электронной почты, ...).Специфичные атрибуты приложения будут изменены нашим инструментом.

Каков наилучший или самый надежный способ синхронизации этих пользователей?Клиент не позволяет нам изменять их схему.

Я думал о том, чтобы создать веб-сервис для добавления / удаления / изменения пользователя на нашей стороне, которого можно вызывать из их системы.Но, может быть, есть лучшие решения.Спасибо.

Answer 1

Вы можете использовать бесплатный пакет функций интеграции удостоверений от MS для синхронизации выбранных атрибутов между AD и AD-LDS. Вы можете скачать его здесь http://www.microsoft.com/download/en/details.aspx?id=11149

Я не уверен, поддерживает ли он сервер 2008. Теперь он может быть включен в сервер 2008 как роль.

Answer 2

Лично я буду использовать ADAMSync для этого.Вы можете «как сделать» в Синхронизировать ADAM (или LDS) с доменными службами Active Directory .

ADAMSync.exe и ADShemaAnalyser.exe являются частью двоичного файла, установленного с ADAM.

В случае если вы аффективно используете ADAM, соблюдайте осторожность при установке ADAM SP1.