是否可以基于 Active Directory(或其他 SSO)身份验证来保护机密?

【问题标题】:Is it possible to protect a secret based on Active Directory (or other SSO) Authentication?是否可以基于 Active Directory(或其他 SSO)身份验证来保护机密?
【发布时间】:2018-06-18 04:23:04
【问题描述】:

我有一个应用程序,理想情况下,用户将使用 AD 登录。我还需要为每个用户存储一个加密密钥,在存储之前应该对其进行加密。

AD、kerberos 或任何社交 SSO 提供的任何机制是否可以根据我的身份验证/授权给我一个秘密,我可以使用它来加密密钥?

或者任何类似于 DPAPI 但可以跨设备可靠工作的 API?

最后,在 AD 中存储未加密的加密密钥是否被视为不好的做法?在我看来,bitlocker 正在有效地做到这一点。

【问题讨论】:

    标签: encryption active-directory kerberos google-signin dpapi


    【解决方案1】:

    到目前为止,我能找到的最好方法是使用 Hashicorp Vault 之类的东西,它允许针对 AD 用户存储密钥并最终基于内存驻留密钥进行加密。

    【讨论】:

      【解决方案2】:

      您正在寻找 Kerberos 密钥表,不是吗?

      【讨论】:

      • 我不知道,我得研究一下,有什么可能的,谢谢你的建议
      【解决方案3】:

      Hashicorp Vault 支持多个身份验证后端。 LDAP 就是其中之一。 另请查看t-vault。它建立在 Hashicorp Vault 之上,它会给你一个漂亮的 UI 以及更高级别的抽象,称为安全。您可以为 AD 中的每个用户创建保险箱。为用户或 ldap 组授予安全访问权限。

      您可以查看 t-vault here 的快速演示。

      【讨论】:

        猜你喜欢
        • 2020-11-26
        • 2016-06-02
        • 2019-08-24
        • 2018-03-20
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode