我正在进行的一个项目应该对 AD 用户进行身份验证。我以前从未使用过 AD,也没有在使用 AD 的组织中工作过,所以这是我的愚蠢问题:如果涉及 AD,谁来管理应用程序的角色、组和用户?我是否有责任为站点管理员提供 UI 以将 AD 用户分配给我的应用角色,或者 AD 管理员应该负责创建我的应用所期望的适当组并在那里分配现有的 AD 用户?
这个部门的最佳实践是什么?
有一点需要注意——这不是一个内部应用程序,因此它应该可以与现有的广告一起使用。问题是如果我期望像“教师”和“学生”这样的角色(只是为了说明这一点),我是否可以期望 IT 人员会在 AD 中创建适当的组并将用户分配给他们?
【问题讨论】:
标签: asp.net authentication active-directory
我认为您不应该为活动目录提供 Gui。大多数使用 Active Directory 的组织都使用标准的 Active Directory 工具对其进行管理。
如果您要处理小商店的情况。然后将组设置为应用程序数据库的内部。您仍然可以使用活动目录用户。但是组管理和成员资格将在您的应用程序内部。这将避免处理活动目录复杂规则的大部分问题,并且仍然受益于单点登录。
还有一点需要注意。组名应该是可定制的。大多数地方都有组名的命名约定。
【讨论】:
如果您正在为另一家公司编写此应用程序,我想您可以假设他们将负责管理 AD 用户和组。您只需要与客户就您的应用将使用的角色/组进行协调。
【讨论】:
这实际上取决于谁拥有 AD,以及谁将负责管理用户帐户。如果此 AD 与您的公司域隔离,并且您希望您的支持或销售人员或其他业务人员管理帐户,那么请务必为他们创建一个管理工具。
如果您尝试与现有的 AD 绑定,那么您应该与您的 IT 部门密切合作,他们可能希望以自己的方式创建帐户(尤其是在您使用现有凭据的情况下)。
本质上,这归结为您的 IT 运作方式,以及您使用的 AD 与运行公司网站的 AD 之间的确切关系。
根据您的其他信息,我认为您需要提供一个管理员控制台。特别是如果您想针对那里的小商店。您的解决方案应该将其设为可选,因此如果他们想要使用管理 UI,他们可以,但如果 IT 部门想要使用 Powershell,例如,他们也可以这样做。
【讨论】: