應用程序的 Active Directory 身份驗證和授權
目前,我們所有的應用程序都是基於 Web 的,我們的身份驗證和授權機制始終通過數據庫。例如,在數據庫中定義的數據庫登錄和訪問控制。但是現在我們正在考慮改變這種方法並利用活動目錄進行身份驗證和授權。
所以我們需要創建 AD 帳戶(即使我們的使用者來自網際網路),並使用授權管理器分配訪問控制?這是通常的做法嗎?這有什麼優點和缺點?我相信對於 AD 方法,我們的內部人員可以被授予訪問權限以列印到秘密列印機以獲取敏感資訊(例如),但是使用數據庫方法會很困難嗎?
最後,我是否必須同時在數據庫和 AD 中保留同一組訪問權限角色/組?如果不需要,那麼是否意味著應用程序可以直接呼叫 API 來驗證來自 AD 的所需角色?謝謝
可以通過使用單點登錄解決方案(Web 封條)(以及其他幾個)IBM Tivoli Access Management將您的應用程序投標到您的 AD 中。這需要您創建對象帳戶(使用者、系統和電腦),通過組設置權限,為每個目標應用程序實現 Web Seal 登錄和身份驗證介面。
所以我們需要創建 AD 帳戶(即使我們的使用者來自網際網路),並使用授權管理器分配訪問控制?這是通常的做法嗎?這有什麼優點和缺點?
與 AD 和應用程序的 Web 密封集成通常用於 Intra/Extranet 使用者。也可以通過批量創建 AD 帳戶將其擴展到 Internet 使用者,但我個人不推薦這樣做。例如,想像一下您的 AD 是否被入侵。與“僅”未經授權的人闖入單個應用程序相比,您將遇到更大的麻煩。
AD 的另一個優點是使用者維護,SoD(從應用程序級別 - 想像一下,如果您有兩個系統,一個用於銷售,另一個用於支付),單個密碼等等……
最後,我是否必須同時在數據庫和 AD 中保留同一組訪問權限角色/組?如果不需要,那麼是否意味著應用程序可以直接呼叫 API 來驗證來自 AD 的所需角色?
您應該使用其中一種。兩者都沒有任何意義。IBM TAM 有一個組件,它與發送自定義參數的應用程序介面,這些參數也可能包括訪問級別。