Аутентификация пользователей ASP.NET в Active Directory: кто управляет пользователями и группами?

Проект, над которым я работаю, должен аутентифицировать пользователей против AD. Я никогда раньше не работал с AD, и при этом я не работал в организациях, которые используют AD, поэтому вот мой глупый вопрос: в случае, если AD задействован, кто управляет ролями, группами и пользователями для приложения? Я обязан предоставить администратору сайта пользовательский интерфейс для назначения пользователей AD на роли моего приложения, или администраторы AD должны позаботиться о создании соответствующих групп, ожидаемых моим приложением, и назначить там существующих пользователей AD?

Каковы лучшие практики в этом отделе?


Стоит отметить, что это не собственное приложение, поэтому оно должно работать с существующим AD. Вопрос в том, ожидают ли мои роли, такие как «Учителя» и «Студенты» (просто чтобы проиллюстрировать это), могу ли я ожидать, что ИТ-специалисты создадут соответствующие группы в AD и назначат для них пользователей?

13.12.2008 02:18:49
3 ОТВЕТА
РЕШЕНИЕ

Я не думаю, что вы должны предоставить графический интерфейс для активного каталога. Большинство организаций, использующих активный каталог, управляют им с помощью стандартных инструментов активного каталога.

Если вы хотите разобраться с делом небольших магазинов. Затем создайте группы внутри базы данных приложения. Вы по-прежнему сможете использовать активных пользователей каталога. Но управление группой и ее членство будут внутренними для вашего приложения. Это позволит избежать большинства проблем, связанных со сложными правилами активного каталога, и при этом использовать единый вход.

Еще одна вещь, чтобы отметить. Имена групп должны быть настраиваемыми. Большинство мест имеют соглашение об именах для имен групп.

1
13.12.2008 16:48:13

Это действительно зависит от того, кому принадлежит AD, и кто будет отвечать за управление учетными записями пользователей. Если эта AD изолирована от вашего совместного домена, и вы хотите, чтобы ваша поддержка или продажи, или другой деловой человек управляли учетными записями, то непременно создайте для них инструмент администратора.

Если вы пытаетесь подключиться к существующему AD, вам следует тесно сотрудничать с вашим ИТ-отделом, и они, вероятно, захотят создать учетные записи по-своему (особенно, если вы используете существующие учетные данные).

По сути, это сводится к тому, как работают ваши ИТ-специалисты, и какие именно взаимосвязи между AD, который вы используете, и AD, на котором работает сайт совместного предприятия.

Edited

Основываясь на вашей дополнительной информации, я думаю, что вам нужно предложить консоль администратора. Особенно, если вы хотите нацелиться на небольшие магазины. Ваше решение должно сделать его необязательным, поэтому, если они хотят использовать пользовательский интерфейс администратора, они могут, но если ИТ-отдел хочет, например, использовать Powershell, они могут это сделать.

0
13.12.2008 05:33:48

Если вы пишете это приложение для другой компании, я думаю, вы могли бы предположить, что они будут отвечать за управление пользователями и группами AD. Вам просто нужно согласовать с клиентами, какие роли / группы будет использовать ваше приложение.

0
13.12.2008 05:01:33