Мы собираемся перевести веб-приложение интрасети с использования проприетарной безопасности на основе форм в Active Directory. Приложение регистрирует различные действия пользователя, и существует значительный объем данных, связанных с учетными записями пользователей. Мы планировали перенести все эти столбцы UserId в разные таблицы: от внешнего ключа, связывающего проприетарную систему, до GUID Active Directory. Имена пользователей в обеих системах идентичны, поэтому миграция не является проблемой.
Однако мы выявили одну серьезную проблему: наша политика безопасности требует, чтобы неактивные пользователи были удалены из Active Directory. Потерянный GUID в наших журналах безопасности делает записи довольно бессмысленными для любого, кто их просматривает.
Как приложение может поддерживать понятные человеку сведения (имя, логин и т. Д.) Об идентификаторе GUID, удаленном из Active Directory?
Мы рассмотрели следующие варианты. Один из этих вариантов может оказаться оптимальным, но мы хотим попробовать лучше:
- Денормализация таблиц журналов и сохранение имени / логина вместо GUID (хорошо для журналов, не так много для активных данных.)
- Поддерживать «кэш» информации об объекте AD, где записи никогда не удаляются
- Сохранение учетной записи AD, но ее деактивация / блокировка