我们的营销部门回来时将“事件目录集成”作为一个关键的客户请求,但我们公司似乎没有足够的注意力来 (1) 决定为此目的我们想要进行哪些功能更改,(2 )采访广泛的客户以确定最需要的功能更改,并且(3)这仍然是下周的“烫手山芋”问题。为了帮助我超越“事件目录集成”这个广泛的主题,它在您的 .NET 应用程序(ASP.NET 和 WinForms)中意味着什么?
以下是我必须考虑的一些示例更改:
- 在您的应用中创建和管理用户时,管理员会看到所有 AD 用户的列表还是一组 AD 用户的列表?
- 在您的应用中创建新的安全组(我们称之为“部门”,例如“人力资源”)时,是否应该创建新的 AD 组?
- 管理员是否通过 AD 将用户分配到应用内或外部的安全组?这重要吗?
- 用户是否通过登录 Windows 来登录您的应用?如果没有,您是否使用自己的用户表和 AD 中的某种外键来跟踪用户?您使用什么外键将应用程序用户链接到 AD 用户?您是否必须证明您的登录过程可以保护用户密码?
- 您使用什么外键将应用安全组链接到 AD 安全组?
- 如果您的应用程序有 WinForms 组件(我们有 ASP.NET 和 WinForms),您是否在 WinForms 应用程序中使用 Membership Provider?目前,我们的成员资格和角色管理早于框架的版本,因此我们不使用成员资格提供程序。
我是否遗漏了任何其他功能更改领域?
后续问题
支持“事件目录集成”的应用是否能够针对多个域对用户进行身份验证?并不是说一个用户将向多个域进行身份验证,而是同一系统的不同用户将针对不同的域进行身份验证。
最佳答案
从管理员的角度来看,我希望广告集成能够执行以下操作
- 永远不要写回 AD,在这一点上我只是不信任第三方软件
- 能够从 AD 导入用户
如果需要的话,能够设置一个安全组,例如“ApplicationXYZ Users”,用于软件分发和权限(共享文件夹等),但这应该遵守数字 1,因此管理员创建安全性分组并告诉应用程序服务器它是哪一个。
单点登录(使用户更容易,因为他们只需要知道他们的 Windows 登录信息,并强制执行域范围密码策略)
已停用的 AD 用户或不再位于“ApplicationXYZ 用户”中的 AD 用户不应能够登录
将 AD 组链接到应用程序组,但这是可选的,没有它我真的可以生活
第
关于.net - "active directory integration"在您的 .NET 应用程序中意味着什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/386178/