我們正在開發一個應用程序,它是內部應用程序,但必須可從Internet訪問。我們使用OpenID Connect來驗證用戶身份。用戶必須在我們的IAM平臺(ISAM IBM Security Access Management)中擁有有效的帳戶才能登錄到應用程序。當用戶瀏覽到應用程序時,他們被重定向到我們的IAM平臺登錄頁面。一旦他們輸入他們的憑證,他們將能夠進入應用程序。基於AD組的授權
現在我們想要根據哪些AD組用戶屬於某種類型的授權。我們如何實現它?在用戶通過身份驗證並重定向到應用程序之後,應用程序是否需要從AD獲取信息?怎麼樣?
有兩種選擇。
1)要麼只允許在適當的AD組中登錄人員, ,在這種情況下,您的OpenID Connect必須能夠從IAM請求組信息,或IAM設置爲僅允許登錄相應的AD組;
2)或在進入應用程序時檢查AD組。
這通常可以在應用側和特定的編程完成取決於應用,但通常應用程序需要使一個LDAP請求到AD,以檢查是否用戶是特定組的成員,如此:
How to write LDAP query to test if user is member of a group?
關於選項1,我會說它不是關於應用程序的訪問權限。所有在我們的IAM平臺中擁有賬戶的用戶都可以訪問該應用程序。問題是我們可以做些什麼來使屬於AD group1的某些用戶只能看到page1,page2和page3。而屬於AD組2的用戶只能看到第2,5和6頁。 關於選項2,我們是否需要在應用程序端進行一些配置,即連接到域或其他東西。 – user217648
@ user217648取決於您的詳細設置。但通常LDAP查詢必須使用某個AD帳戶連接到LDAP服務器才能進行身份驗證。所以你必須爲你的應用程序設置AD帳戶。並不意味着應用程序的服務器必須在域中,只是該應用程序提供AD帳戶並在進行LDAP查詢時通過。 – Gnudiff
您用於OIDC的客戶端堆棧是什麼?爲什麼標記ADFS? – nzpcmad