Ist es eine schlechte Praxis, externe Benutzer in Active Directory zu versetzen?

Question

Wir haben eine bestehende Webanwendung und möchten von einer benutzerdefinierten Authentifizierungslösung zu Active Directory-Verbunddiensten migrieren, damit unsere Partnerorganisationen die Autorisierung ihrer Benutzer auf ihrer Seite verwalten können.

Derzeit verwendet die Site benutzerdefinierte Datenbanktabellen zum Verwalten von Benutzern und benutzerdefinierte Logik zum Verwalten von Authentifizierung und Autorisierung.

Zusätzlich zu den Partnerorganisationen, die ihre Benutzer authentifizieren und über ADFS Zugriff erhalten, haben wir interne Benutzer in unserer Active Directory-Domäne. Diese Benutzer können auch über ADFS authentifiziert werden.

Unsere Frage dreht sich um unsere externen Benutzer. Diese Seite ermöglicht auch Einzelpersonen sich zu registrieren. Diese Personen haben keine Organisation, für die sie arbeiten. Daher können wir ADFS nicht für die Authentifizierung verwenden.

Da wir diese Personen unterstützen müssen, müssen wir ihre Benutzerkonten verwalten.

ADFS kann nur Verbindungen zu Active Directory- oder Active Directory-Anwendungsmodus-Kontospeichern herstellen.

Da ADFS nur diese Kontospeicher unterstützt, scheint es die logische Lösung zu sein, Konten für externe Benutzer in unserer Active Directory-Domäne zu erstellen.

Dies würde bedeuten, dass wir unsere Registrierungsseiten aktualisieren, um neue Benutzerkonten in Active Directory zu erstellen, anstatt neue Datensätze in unserer benutzerdefinierten Datenbank zu erstellen.

Also, ist das eine schlechte Praxis? Sollte AD für externe Benutzer verwendet werden? Wie gehen andere mit dieser Art von Situation um, wenn Sie ADFS verwenden?

Answer 1

Erstellen Sie eine neue AD-Gesamtstruktur für Ihre externen Benutzer. Sie müssen möglicherweise eine bessere Sicherheit einrichten, aber die beiden können für eine nahtlose Authentifizierung bereitgestellt werden.

Sie müssen ihnen sagen, dass sie eine andere Domain verwenden sollen, wenn sie sich anmelden (zB benutzen Ihre normalen Benutzer 'mycorp', externe verwenden 'externalcorp'), aber ansonsten ist es völlig transparent.

Answer 2

Ja, es ist eine schlechte Praxis, externe Benutzer in dieselbe AD wie Ihre internen Benutzer zu stellen. Halten Sie externe Konten getrennt und überprüfen Sie ADAM für die externe Benutzerauthentifizierung.

Answer 3

Ich denke, die Frage, die Sie stellen müssen, ist nicht, wenn das Speichern von externen Konten im Active Directory schlecht ist, aber wenn Sie Konten in der gleichen Gesamtstruktur wie Ihre internen Konten speichern. Es kann getan werden, aber ich würde eher mit Fallen übereinstimmen, dass ich die externen Konten nicht in denselben Wald mit den internen Konten setzen würde.

In der Vergangenheit, als wir einen AD-Speicher zum Platzieren eines externen Accounts verwendeten, erstellten wir eine neue Gesamtstruktur und stellten die externen Benutzer dort ein und vertrauten dann den beiden Domänen. Meiner Meinung nach ist dies die bessere Option, da die Benutzer mit dem höchsten Zugriff auf das interne Netzwerk durch das Vertrauen und nicht durch das Konto eines Benutzers eingeschränkt sind. Wenn die Domäne enthalten ist, können Sie sie immer herunterfahren und Sie werden wissen, dass nichts mit externen auf die internen Netzwerke zugreifen kann. Auf diese Weise können Sie auch unterschiedliche Sicherheitsrichtlinien für externe und interne Benutzer festlegen.