Wir haben eine SSO-Lösung mit IdentityServer4 erstellt. Unsere öffentlichen/verbundenen Benutzer werden durch ein Konto authentifiziert, das in einer Datenbank gespeichert ist, und unsere internen/internen Benutzer werden unter Verwendung ihrer Active Directory-Konten authentifiziert.SSO mit IdentityServer und Active Directory
Das Problem besteht darin, dass beim Hosten unserer IdentityServer-Lösung in einer DMZ (nicht in unserer Domäne) nicht auf Active Directory (in unserer Domäne) zugegriffen werden kann, um Anmeldeinformationen und Rollen/Ansprüche eines Benutzers zu überprüfen.
Mein Ziel ist es, die beste Lösung für dieses Problem zu kennen.
- Ist die empfohlene Vorgehensweise zum Implementieren der Active Directory-Verbunddienste?
- Müssen wir den IdentityServer auf unserer Domain hosten, damit er AD-Zugriff hat und dann eine zweite Anwendung erstellen, die extern gehostet wird und zu unserem eigentlichen IdentityServer aufruft?
- Gibt es eine sichere Lösung, die unser Netzwerkteam implementieren kann, damit der externe Server auf AD in unserer Domäne zugreifen kann (dh: Erteilen Sie AD-Berechtigungen für die Identität des IIS-Anwendungspools)?
Mit ein bisschen Verlust, was die beste Praxis ist hier. Ich bin mir nicht sicher, ob dies ein Problem für unser Netzwerk-/Betriebsteam oder für unser Entwicklungsteam ist.
Vielen Dank im Voraus.
Ich weiß nichts darüber, aber mir wurde gesagt, dass Sie Active Directoryy Federation Services ansehen möchten ... – thebjorn
Ich werde meinen Beitrag bearbeiten, um das zu integrieren, wir haben tatsächlich einige davon gesehen und sind forscht derzeit weiter. Unser Netzwerkteam ist besorgt, dass die Implementierung viel Zeit in Anspruch nehmen könnte. Wenn dies jedoch die beste Lösung ist, werden wir weitermachen. Einfach nur Informationen sammeln, um zu sehen, ob es bessere Möglichkeiten gibt oder ob das tatsächlich die beste Lösung ist. Danke für die Eingabe :) – madeFromCode