我想知道我可能用什麼解決方案/選項來管理AD的用戶身份驗證和授權?我處於我們想要使用AD賬戶/組/等來管理內部和外部用戶的情況。我發現這篇文章(http://blog.waleedmohamed.net/2009/12/create-active-directory-service-using.html)顯示了一個簡單的WCF服務暴露了一些AD操作。活動目錄WCF服務
我的想法是創建一個AD WCF服務,其中多個應用程序可以使用帳戶CRUD操作和其他所需的功能,如登錄和密碼檢索。用這麼大的力量來提供服務是一個好主意嗎?我們正在考慮讓服務使用僅對特定OU有權限的帳戶來限制其權力。
謝謝!
我會非常重視實施WCF服務的安全性,比如讓它在端口443(SSL)上。一些IP範圍(IIS)對服務器的訪問限制也被想到了。
很多CRUD操作只能由域管理員完成。作爲一種方法,這需要WCF服務作爲域管理員運行,在這種情況下,如果某人可以入侵併運行代碼,那麼可能會非常危險。
Windows身份驗證無法在IIS中正常工作身份驗證令牌跨越DC,因爲大多數情況下IIS不在DC上運行。
另一方面,用戶可以在安全會話中傳遞用戶名/密碼(可能通過SSL),並且它將用於連接到域控制器。只要你能保護它,它可以很好。
我問了一個類似的問題,也只能找到你找到的資源。我喜歡這個想法,因爲我有多個內部應用程序,它們已經使用我創建的AD幫助程序庫與AD接口。我想從該AD助手庫創建一個WCF服務,以便讓單個應用程序維護,以便我需要添加或修復功能,而不是重新訪問每個使用AD助手庫的應用程序。
我擔心的是重新發明輪子。我不想實現MS可能已經有一個實現的東西。有人建議我看一下Active Directory Web服務,看看這些東西是否已經在我的AD Helper庫中實現了。從我所知道的,這只是另一種與AD接口的方式,我已經使用System.DirectoryServices名稱空間進行了連接。
我認爲如果實施得當,這對任何開發環境來說都是一個很好的補充,可以更均勻地將其內部應用程序與Active Directory集成並集中維護此實現。
是的,我在SSL上使用ntlm進行服務綁定,並將我的服務層配置爲只接受來自我的前端層的訪問。 – MisterIsaak 2010-11-09 22:35:20