【问题标题】:How to automatically authenticate users of a public website based on their remote Active Directory credentials如何根据远程 Active Directory 凭据自动对公共网站的用户进行身份验证
【发布时间】:2020-12-17 21:07:52
【问题描述】:

所以,我有一个公共网站。我希望能够根据他们的 Active Directory 凭据自动对某些用户进行身份验证(登录)到网站 - 这样他们就不必输入用户名/密码。

这些用户 - 遍布世界各地 - 将使用属于其组织的 Active Directory 的计算机 - 因此,他们已经以某个 AD 用户的身份登录到他们的计算机。我想以某种方式拥有这些组织的白名单(也许我需要存储他们的 Active Directory“证书”以进行加密验证),并基于此和他们的 AD 用户名,他们将通过身份验证.

也许,如果在他使用的客户端计算机上,用户没有以 AD 用户身份登录(因为他不在工作或其他原因),那么最好将他重定向到他所在的某个受信任的网站可以输入他的 AD 凭据,以便以同一网站用户身份登录。明白我的意思吗?

最好的方法是什么?

我正在考虑某种单点登录的东西,或者联合的东西。我不确定那里有什么。

【问题讨论】:

  • 我认为允许外部服务连接到您的 AD 进行身份验证是一种糟糕的做法。基本上正如你所问的那样是非常不安全的。如果没有适当的安全措施,您就会要求各种潜在的攻击和问题。
  • 根据您的描述,看起来就像一个用户访问了您的公共网站,然后您的网站就可以知道他是谁。合法吗?我的意思是您的网站如何在不输入用户信息的情况下通过 IP 地址获取凭据?
  • Tiny:嗯,我希望有人知道如何做到这一点。也许某种单点登录的东西?还是联邦的东西?我不知道。

标签: authentication iis active-directory azure-active-directory federated-identity


【解决方案1】:

【讨论】:

  • 当 Web 服务器不属于客户端的 Active Directory 域时,这真的可以工作吗?
  • 是的,有两种选择 1:使用本地权限,例如@ 或 2:设置 Active Directory 子域并将 Web 服务器添加到其中。您也可以将 Web 服务器设置为联合 SSO 服务器。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2013-04-15
相关资源
最近更新 更多