【发布时间】:2017-03-24 22:46:10
【问题描述】:
我们使用 IdentityServer4 创建了一个 SSO 解决方案。我们的公共/附属用户通过存储在数据库中的帐户进行身份验证,我们的公司/内部用户使用他们的 Active Directory 帐户进行身份验证。
我们遇到的问题是,当我们在 DMZ(不在我们的域上)上托管 IdentityServer 解决方案时,它无法访问 Active Directory(在我们的域上)来验证用户的登录凭据和角色/声明。
我的目标是知道这个问题的最佳解决方案。
- 是实施 Active Directory 联合服务的最佳实践吗?
- 我们是否需要在我们的域上托管 IdentityServer 以便它具有 AD 访问权限,然后创建第二个应用程序以在外部托管并调用我们实际的 IdentityServer?
- 我们的网络团队是否可以实施一种安全的解决方案来允许外部服务器访问我们域上的 AD(即:以某种方式将 AD 权限授予 IIS 应用程序池标识)?
对这里的最佳实践有点茫然。不确定这是我们的网络/运营团队还是我们的开发团队的问题。
提前致谢。
【问题讨论】:
-
我对此一无所知,但有人告诉我你可能想看看 Active Directoryy Federation Services...
-
我将编辑我的帖子以包含它,我们确实看过一些,目前正在进一步研究它。我们的网络团队担心它可能需要很长时间才能实施,但如果这是最好的解决方案,那么我们将继续推进。只是现在收集信息,看看是否有更好的选择,或者这确实是最好的解决方案。感谢您的输入:)
标签: iis networking oauth-2.0 active-directory identityserver4