Мы планируем позволить нашим клиентам нашего программного обеспечения полностью настраивать пользователей и их разрешения в Active Directory.
Как только пользователь AD становится членом AD-группы «SoftwareXyz», он может войти в систему и использовать наше программное обеспечение.
Я видел другие программные продукты, делающие именно это.
Теперь я хотел бы пойти дальше. Такие разрешения, как «Пользователь может редактировать отчеты», также должны эффективно управляться в LDAP.
Какой лучший или самый распространенный способ добиться этого?
Если у вас нет очень ограниченного набора функций, которыми вы хотите управлять, вам не следует создавать одну группу AD для каждой функции, потому что вы столкнетесь с множеством проблем. когда билет Kerberos становится слишком большим.
Однако вы можете создать ограниченный набор ролей, которые будут управляться через группы AD (например, «Средства просмотра отчетов») и, в свою очередь, предоставят доступ к множеству функций (которые не нужно определять в AD).
Если у вас есть база данных, вы можете разрешить клиенту создавать свои собственные роли и управлять AD Group <-> Roles <-> Features
отношения в вашей БД.