我想知道使用 AD 管理用户身份验证和授权可能有哪些解决方案/选项?我的情况是,我们想使用 AD 帐户/组/等来管理我们的内部和外部用户。我发现这篇文章 (http://blog.waleedmohamed.net/2009/12/create-active-directory-service-using.html) 展示了一个暴露一些 AD 操作的简单 WCF 服务。
我的想法是创建一个 AD WCF 服务,多个应用程序可以使用该服务进行帐户 CRUD 操作和其他所需功能,例如登录和密码检索。拥有如此强大的服务是个好主意吗?我们正在考虑让服务使用仅对某些 OU 具有权限的帐户以限制其权力。
谢谢!
【问题讨论】:
标签: wcf security active-directory wcf-security
许多 CRUD 操作只能由域管理员完成。作为一种方法,这需要 WCF 服务以域管理员身份运行,在这种情况下,如果有人可以侵入并在其中运行代码,则可能非常危险。
Windows 身份验证无法(在 IIS 中)将身份验证令牌传递给 DC,因为很可能 IIS 没有在 DC 上运行。
另一方面,用户可以在安全会话中传递用户名/密码(可能通过 SSL),它将用于连接到域控制器。只要你能保护好它就可以了。
【讨论】:
我问了一个类似的问题,也只能找到您找到的资源。我喜欢这个想法,因为我有多个与 AD 交互的内部应用程序已经使用我创建的 AD Helper 库。我想从那个 AD Helper 库创建一个 WCF 服务,以便在我需要添加或修复功能而不是重新访问每个使用 AD Helper 库的应用程序时维护一个应用程序。
我担心的是重新发明轮子。我不想实现 MS 可能已经实现的东西。有人建议我查看 Active Directory Web 服务,看看它是否已经完成了我已经在我的 AD Helper 库中实现的功能。据我所知,这只是我已经使用 System.DirectoryServices 命名空间与 AD 交互的另一种方式。
我认为,如果实施得当,这将是对任何开发环境的极好补充,可以更统一地将其内部应用程序与 Active Directory 集成并集中维护此实施。
【讨论】:
我会非常注意实现 WCF 服务的安全性,例如将它放在端口 443 (SSL) 上。还会想到通过特定 IP 范围 (IIS) 限制对服务器的访问。
【讨论】: