问题描述
我们的营销部门认为活动目录集成"是客户的关键要求,但我们公司似乎没有足够的注意力来 (1) 决定我们要为此做出哪些功能更改,(2) 采访广泛的客户,以确定最需要的功能更改,并且 (3) 这仍然是下周的烫手山芋"问题.为了帮助我超越活动目录集成"这个宽泛的话题,它在您的 .NET 应用程序(ASP.NET 和 WinForms)中意味着什么?
Our marketing department comes back with "active directory integration" being a key customer request, but our company does not seem to have the attention span to (1) decide on what functional changes we want to make toward this end, (2) interview a broad range of customer to identify the most requested functional changes, and (3) still have this be the "hot potato" issue next week. To help me get beyond the broad topic of "active directory integration," what does it mean in your .NET app, both ASP.NET and WinForms?
以下是我必须考虑的一些示例更改:
Here are some sample changes I have to consider:
- 在您的应用中创建和管理用户时,管理员是看到所有 AD 用户的列表还是仅显示一组 AD 用户?
- 在您的应用中创建新的安全组(我们称之为部门,如人力资源")时,是否应该创建新的 AD 组?
- 管理员是否通过 AD 将用户分配到您的应用内或外部的安全组?重要吗?
- 用户是否通过登录 Windows 登录了您的应用?如果没有,您是否使用自己的用户表和某种外键进入 AD 来跟踪用户?您使用什么外键将应用程序用户链接到 AD 用户?您是否必须证明您的登录过程保护了用户密码?
- 您使用什么外键将应用安全组链接到 AD 安全组?
- 如果您的应用程序有 WinForms 组件(我们有 ASP.NET 和 WinForms),您是否在 WinForms 应用程序中使用 Membership Provider?目前,我们的成员资格和角色管理早于框架版本,因此我们不使用成员资格提供程序.
我是否遗漏了任何其他方面的功能更改?
Am I missing any other areas of functional changes?
后续问题
支持活动目录集成"的应用是否能够针对多个域对用户进行身份验证?不是一个用户会向多个域进行身份验证,而是同一系统的不同用户会针对不同的域进行身份验证.
Do apps that support "active directory integration" have the ability to authenticate users against more than one domain? Not that one user would authenticate to more than one domain but that different users of the same system would authenticate against different domains.
推荐答案
从管理员的角度来看,我想要一个广告集成来做以下事情
from a administrators perspective i want a ad-integration to do the following things
- 永远不要回信给 AD,我只是在这一点上不信任 3rd 方软件
- 能够从 AD 导入用户
能够设置一个安全组,例如ApplicationXYZ 用户",用于软件分发和权限(共享文件夹,...),如果有必要,但这应该遵守数字 1,因此管理员创建安全分组并告诉应用服务器它是哪一个.
- never ever write back to the AD, i just don't trust 3rd party software in this point
- being able to import users from AD
being able to set a security group eg "ApplicationXYZ Users" to be used for software distribution and rights (shared folders, ...) if necessary but this should obey number 1., so the admin creates the security group and tells the appserver which one it is.
单点登录(使用户更容易,因为他们只需要知道自己的 Windows 登录信息,并强制执行域范围的密码策略)
single sign-on (makes it easier for the users cause they only need to know their windows login, and enforces the domain wide password policy)
停用的 AD 用户,或不再属于ApplicationXYZ 用户"的 AD 用户应该无法登录
a deactivated AD-User, or a AD-User that is no longer in "ApplicationXYZ Users" should not be able to login
将 AD 组链接到应用程序组,但这是可选的,我真的可以没有它
link AD-Group to Application Group but that would be optional, i really can life without that
第
这篇关于什么是“活动目录集成"?是指在您的 .NET 应用程序中吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持跟版网!