Я создаю приложение MVC 3 и пытаюсь работать в системе безопасности на основе Active Directory. Мое приложение - это портал, который управляет кластерами серверов на каждом этапе жизненного цикла разработки моей команды в облачной среде. С помощью этого интерфейса пользователи смогут создавать новые серверы, удалять существующие серверы и перезагружать кластеры для своих соответствующих сред.
На высоком уровне у меня есть список этапов разработки, хранящихся в базе данных, а затем список серверов, подключенных к этому этапу. Например, наш жизненный цикл в настоящее время - DEV-> TEST-> PROD, поэтому, когда пользователь посещает главную страницу моего приложения, он видит три вкладки, по одной для каждого этапа. При нажатии на эту вкладку загружается список всех серверов, подключенных к этому этапу. Эти этапы являются динамическими, и администратор должен иметь возможность добавлять или удалять их из базы данных в любой момент времени. Это будет редко, но мы можем реализовать этап интеграции в какой-то момент в будущем, и мой UI / Security должен быть в состоянии справиться с этим сценарием.
Помимо обработки нескольких этапов, на каждом этапе требуется возможность обработки нескольких приложений. Например, моя команда в настоящее время управляет только одной командой разработчиков, но мы можем присоединиться к другой относительно скоро. В этом случае мне потребуется создать серверы для них на уровне DEV, TEST и PROD, которые будут отделены от наших существующих приложений.
После выполнения всех этих требований я не совсем уверен, как реализовать средства управления безопасностью в моем приложении. В настоящее время мы используем группы AD для управления разрешениями сервера, поэтому я хотел бы иметь возможность использовать эти же группы для управления разрешениями моего приложения. Мысленный процесс заключается в том, что если у кого-то есть доступ на чтение к серверу, он также получит доступ на мой портал. Если у них есть доступ к sudo, у них будет полное чтение / обновление / удаление на моем портале.
Как я могу спроектировать свои представления / контроллеры таким образом, чтобы я использовал AD для проверки подлинности и группы AD для ролей, но при этом сохранял динамическую безопасность своего приложения, чтобы я мог подключать и отключать группы AD с помощью страницы веб-администратора для управления Какие группы AD имеют доступ к определенным страницам без необходимости перестраивать мое приложение?
(MVC 3, .NET 4, IIS 7, Active Directory, Linux + Windows)