security - هل ممارسة سيئة لوضع المستخدمين الخارجيين في "أكتيف ديركتوري"؟




authentication active-directory (2)

أعتقد أن السؤال الذي تحتاج إلى طرحه ليس إذا كان تخزين الحسابات الخارجية في الدليل النشط سيئا، ولكن إذا كان تخزين الحسابات في نفس غابة حساباتك الداخلية سيئا. ويمكن أن يتم ذلك، ولكن أود أن تميل إلى الاتفاق مع السقوط أنني لن تضع الحسابات الخارجية في نفس الغابات مع الداخلية.

في الماضي عندما كنا متجر أد لوضع حساب خارجي أنشأنا غابة جديدة ووضع المستخدمين الخارجيين في هناك وثم وثقت في المجالين. في رأيي هذا هو الخيار الأفضل لأن أعلى الوصول للمستخدمين لديهم إلى الشبكة الداخلية محدودة من الثقة وليس حساب المستخدم. إذا كان المجال يتكون يمكنك دائما إيقاف تشغيله وعليك أن تعرف أن لا شيء مع الخارجية يمكن الوصول إلى الشبكات الداخلية. هذا يسمح لك أيضا أن يكون سياسات الأمان المختلفة بين المستخدمين الخارجيين والداخليين.

لدينا تطبيق ويب موجود ونريد الترحيل من حل مصادقة مخصص إلى خدمات اتحاد أكتيف ديركتوري بحيث تتمكن منظماتنا الشريكة من إدارة تفويض مستخدميها من جانبهم.

الآن يستخدم الموقع جداول قاعدة بيانات مخصصة لإدارة المستخدمين والمنطق المخصص لإدارة المصادقة والتخويل.

بالإضافة إلى المنظمات الشريكة التي ستصادق على مستخدميها والوصول إليها من خلال أدفس، لدينا مستخدمين داخليين موجودين في نطاق "أكتيف ديركتوري". يمكن أيضا مصادقة هؤلاء المستخدمين من خلال أدفس.

سؤالنا يدور حول مستخدمينا الخارجيين. كما يسمح هذا الموقع للأفراد بالتسجيل. هؤلاء الأفراد ليس لديهم أي منظمة الذين يعملون، لذلك نحن لا يمكن استخدام أدفس للتعامل مع مصادقة بهم.

وبما أننا بحاجة إلى دعم هؤلاء الأفراد، فنحن بحاجة إلى إدارة حسابات المستخدمين.

يمكن أدفس الاتصال فقط إلى أكتيف ديركتوري أو أكتيف ديركتوري أبليكاتيون مود ستوريس ستوريس.

بما أن أدفس يدعم فقط هذه المخازن الحسابية، يبدو أن الحل المنطقي هو إنشاء حسابات للمستخدمين الخارجيين في مجال "أكتيف ديركتوري".

وهذا يعني أننا سنحدث صفحات التسجيل لإنشاء حسابات مستخدمين جديدة في أكتيف ديركتوري النشط بدلا من إنشاء سجلات جديدة في قاعدة البيانات المخصصة لدينا.

إذن، هل هذه ممارسة سيئة؟ هل ينبغي استخدام أد للمستخدمين خارج المؤسسة؟ كيف يتعامل الآخرون مع هذا النوع من الحالات عند استخدام أدفس؟


إنشاء غابة أد جديدة لمستخدميها الخارجيين، قد تحتاج إلى إعداد بعض الأمن أفضل، ولكن يمكن أن يكون اثنين كونكنكتد لمصادقة سلس.

ستحتاج إلى إخبارهم باستخدام نطاق مختلف عند تسجيل الدخول (على سبيل المثال، يستخدم المستخدمون العاديون 'ميكورب'، وتستخدم الخارجيين 'إكسترنالكورب')، إلا أنها شفافة تماما.





adfs