Включите единый вход для приложений в AWS путем интеграции с локальной AD - PullRequest
Новая
       50

Включите единый вход для приложений в AWS путем интеграции с локальной AD

0 голосов
/ 14 марта 2019

Для приложения отчетности, развернутого в AWS, необходимо включить единый вход для пользователей, чтобы получить к нему доступ -

  1. Пользователи должны получать доступ к приложению со своих офисных компьютеров только в сети компании.
  2. Конечные точки приложения защищены шлюзом API, чтобы разрешить доступ только из внутренней сети компании.
  3. Как только пользователь нажимает на URL-адрес для приложения создания отчетов, приложение должно аутентифицировать вошедшего в систему пользователя с помощью корпоративной AD, чтобы убедиться, что вошедший в систему пользователь является действительным и что они принадлежат к правильным группам AD, которые разрешены доступ к приложению.
  4. Если проверка подлинности и авторизации пройдена, то приложение должно разрешить доступ пользователю или запросить страницу входа для ввода учетных данных вручную.

Можете ли вы посоветовать, как лучше всего это настроить? У нас есть ADFS, развернутая в инфраструктуре нашей компании (не уверенная в версии), поэтому нам было интересно, можем ли мы использовать это или вместо этого полагаться на проверку подлинности Windows Kerberos, чтобы получить токены для предоставления пользователю доступа. Что будет лучшим подходом или, что более важно, что будет быстрее настроить. Совершенно новичок в SSO и ADFS в целом, поэтому ценим ваши ответы.

Спасибо! Raunak

1 Ответ

0 голосов
/ 14 марта 2019

Я бы порекомендовал вам использовать ADFS, поскольку гораздо проще интегрировать веб-приложения с ADFS по сравнению с Kerberos.

Kerberos может быть хитрым. Я вижу, вы упомянули, что приложение для создания отчетов будет использоваться только из внутренней сети компании, но вы все равно можете столкнуться с проблемами с Kerberos, поскольку оно требует определенной настройки браузера на компьютерах конечных пользователей. В Windows вам нужно будет обеспечить некоторые настройки IE:

  • IE -> Свойства обозревателя -> Безопасность -> Локальная интрасеть -> Пользовательский уровень -> Убедитесь, что выбрано "Автоматический вход только в зону интрасети" .
  • IE -> Свойства обозревателя> Дополнительно -> убедитесь, что «Включить встроенную проверку подлинности Windows» включен
  • Весьма вероятно, что вам также потребуется добавить URL-адрес вашего приложения для отчетов в список сайтов интрасети и доверенных сайтов на ПК каждого пользователя (в случае, если вы используете для своего приложения собственное доменное имя, т.е. не имя локального сервера). в вашем домене)
  • Другие браузеры, кроме IE, могут нуждаться в другой настройке, вы можете прочитать подробнее здесь

Я считаю, что работать с группами AD также немного сложнее, поскольку вы можете получить имя пользователя только из токена Kerberos. Затем вам нужно будет сделать дополнительный звонок непосредственно в AD, чтобы найти группы пользователей. С помощью ADFS вы можете получать группы прямо с токена (в виде утверждений).

Вот хорошее руководство по интеграции вашего веб-приложения с ADFS: https://auth0.com/docs/connections/enterprise/adfs

...