Erweitern der Active Directory-Sicherheit durch Aktionen und Rollen

Question

Wir erstellen eine Intranetanwendung, die die integrierte Windows-Authentifizierung verwendet. Die Anwendung würde benutzerdefinierte Aktionen und Rollen erfordern, um verschiedene Teile und Funktionen zu sichern.

Meine aktuelle Idee besteht darin, Active Directory zu erweitern, indem die Rollen und Aktionen in einer anderen Datenbank gespeichert werden, die mit einem Active Directory-Benutzer verknüpft ist, der die SID verwendet. Auf diese Weise wissen wir, wer der Benutzer ist und holen seine erlaubten Rollen (mit den Aktionen) aus unserer Datenbank ohne viel Ärger.

Denken Sie, dass dies ein guter Ansatz ist oder gibt es bessere Möglichkeiten, mit diesen Dingen umzugehen?

Ich habe diesen Beitrag lesen: User Group and Role Management in .NET with Active Directory
Aber Active Directory nicht programmatisch Rollen unterstützt die Erstellung und gibt es keine Unterstützung für benutzerdefinierte Aktionen auch immer.

Answer 1

Ein paar Optionen in den Sinn:

• Sie ADAM (aka AD LDS) für Ihre Rollen Speicher verwenden könnte - das gleiche wie AD, die das Programmiermodell ist schön;
• können Sie uns AzMan (aka Autorisierung Manager) - es integriert sich gut mit ASP.NET und Sie können es mit dem eingebauten Rollen-Provider verwenden. Es kann seine Daten in XML oder im AD speichern. Außerdem enthält die EntLib einen AzMan-Wrapper, so dass Sie sie auf andere Weise verwenden können. Ich mag AzMan sehr, weil Sie Änderungen an Benutzerrollen im laufenden Betrieb vornehmen können.