基于 AD 组的授权

【问题标题】:Authorization based on AD groups基于 AD 组的授权
【发布时间】:2017-09-14 20:38:48
【问题描述】:

我们正在开发一个应用程序,它是内部应用程序,但必须可以从 Internet 访问。我们使用 OpenID Connect 对用户进行身份验证。用户必须在我们的 IAM 平台 (ISAM IBM Security Access Management) 中拥有有效帐户才能登录应用程序。当用户浏览到应用程序时,他们会被重定向到我们的 IAM 平台登录页面。输入凭据后,他们将能够进入应用程序。

现在我们希望根据用户所属的 AD 组进行某种授权。我们怎样才能实现它?用户通过身份验证并重定向到应用程序后,应用程序是否需要从 AD 获取信息?如何?

【问题讨论】:

  • 您为 OIDC 使用的客户端堆栈是什么?为什么这被标记为 ADFS?

标签: active-directory authorization adfs


【解决方案1】:

有两种选择。

1) 要么只允许登录适当的 AD 组中的人, 在这种情况下,您的 OpenID Connect 必须能够从 IAM 请求组信息,或者 IAM 设置为仅允许登录相应的 AD 组;

2) 或者进入应用查看AD组。

这通常在应用程序端完成,特定的编程依赖于应用程序,但通常应用程序需要向 AD 发出 LDAP 请求以检查用户是否是特定组的成员,例如:

How to write LDAP query to test if user is member of a group?

【讨论】:

  • 关于选项 1,我想说这与访问应用程序无关。在我们的 IAM 平台中拥有帐户的所有用户都可以访问该应用程序。问题是我们可以做些什么来让一些属于 AD group1 的用户只能看到 page1、page2 和 page3。而属于AD group2的用户只能看到第2、5、6页。关于选项2,我们是否需要在应用端做一些配置,即加入域什么的。
  • @user217648 这取决于您的详细设置。但通常 LDAP 查询必须使用一些 AD 帐户连接到 LDAP 服务器进行身份验证。因此,您必须为您的应用程序设置 AD 帐户。并不意味着应用的服务器必须在域中,只是应用提供AD帐户并在进行LDAP查询时通过。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2019-07-18
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2020-10-19
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode