Гибрид аутентификации Windows

Question

Я использую проверку подлинности Windows для приложения MVC в интрасети. Я хочу добавить дополнительную логику в процесс аутентификации. Другими словами, как и существующий в AD, пользователь должен также существовать в пользовательской базе данных, прежде чем они будут аутентифицированы.

Они также должны выйти из приложения MVC и войти снова с тем же идентификатором AD, но с другим выбранным отделом.

Я не уверен в наилучшем подходе к этому, поскольку включение проверки подлинности Windows не позволяет запускать любого настраиваемого поставщика членства.

Answer 1

Я думаю, вам нужно будет использовать доменные механизмы и проверить, есть ли пользователь в роли.

Описание Скотта Гу:

http://weblogs.asp.net/scottgu/archive/2006/07/12/Recipe_3A00_-Enabling-Windows-Authentication-within-an-Intranet-ASP.NET-Web-application.aspx

MSDN описание:

http://msdn.microsoft.com/en-us/library/ff647405.aspx

... на самом деле это проще, чем делать разрешения учетной записи SQL в Домене

Answer 2

если вы используете, то IE отправит через эти учетные данные в IIS. Чтобы уменьшить зависимость и сделать AD доступным и достаточно быстрым, вы можете поместить информацию AD в некоторые таблицы, локальные для вашего приложения, а затем использовать эти таблицы. Постоянная трансляция в AD может привести к замедлению работы приложения. Если у вас есть список AdUsers и групп, то вы находитесь в некоторых локальных таблицах БД, а когда пользователь веб-сайта mvc может представить список вариантов групп объявлений, к которым он принадлежит. Когда они выбрали одну из групп AD, к которой они принадлежат, установите группу в состояние cookie и / или сеанс. Проблема в том, что ваши таблицы AD db должны будут извлекаться из рекламы и обновляться время от времени. Только одно из этого ...