В настоящее время все наши приложения основаны на Интернете, и наш механизм аутентификации и авторизации всегда осуществляется через базу данных. например, имена входа в базу данных и средства управления доступом, определенные в базе данных. Однако сейчас мы думаем об изменении этого подхода и использовании активного каталога для аутентификации и авторизации.
Значит, нам нужно создать учетные записи AD (даже для наших пользователей, подключенных к Интернету) и назначить контроль доступа с помощью диспетчера авторизации? Это как обычно делается? Какие плюсы и минусы для этого? Я считаю, что для метода AD нашим внутренним сотрудникам могут быть предоставлены права доступа для печати конфиденциальной информации на секретном принтере (например), но с подходом к базе данных это будет сложно?
И наконец, должен ли я поддерживать одинаковый набор ролей / групп прав доступа в базе данных и AD одновременно? Если в этом нет необходимости, значит ли это, что приложение может просто вызвать API, чтобы напрямую проверить требуемые роли из AD? Спасибо
Связывание ваших приложений с AD может быть выполнено с помощью решения единой регистрации (веб-печать), такого как (среди нескольких других) IBM Tivoli Access Management. Это требует от вас создания учетных записей объектов (пользователей, систем и компьютеров), установки разрешений через группы, реализации входа в систему с веб-печатью и интерфейса аутентификации для каждого отдельного целевого приложения.
Значит, нам нужно создать учетные записи AD (даже для наших пользователей, подключенных к Интернету) и назначить контроль доступа с помощью диспетчера авторизации? Это как обычно делается? Какие плюсы и минусы для этого?
Интеграция веб-печати с AD и приложениями обычно используется для пользователей Intra / Extranet. Можно распространить это и на пользователей Интернета, создав учетные записи AD с помощью пакетной обработки, но я лично не рекомендую это делать. Например, представьте, если ваш AD будет скомпрометирован. У вас будет гораздо большая проблема, чем "только" несанкционированный доступ к одному приложению.
Еще один плюс для AD - это обслуживание пользователей, SoD (на уровне приложения - представьте, если у вас есть две системы, одна для продаж, а другая для платежей), единый пароль и так далее ...
И наконец, должен ли я поддерживать одинаковый набор ролей / групп прав доступа в базе данных и AD одновременно? Если в этом нет необходимости, значит ли это, что приложение может просто вызвать API, чтобы напрямую проверить требуемые роли из AD?
Вы должны использовать либо одно, либо другое. И то и другое не имело бы смысла. IBM TAM имеет компонент, который связывает приложение, отправляющее настроенные параметры, которые также могут включать уровень доступа.