Назад | Перейти на главную страницу

Как управлять разрешениями для конкретных приложений в AD?

Мы планируем позволить нашим клиентам нашего программного обеспечения полностью настраивать пользователей и их разрешения в Active Directory.

Как только пользователь AD становится членом AD-группы «SoftwareXyz», он может войти в систему и использовать наше программное обеспечение.

Я видел другие программные продукты, делающие именно это.

Теперь я хотел бы пойти дальше. Такие разрешения, как «Пользователь может редактировать отчеты», также должны эффективно управляться в LDAP.

Какой лучший или самый распространенный способ добиться этого?

Если у вас нет очень ограниченного набора функций, которыми вы хотите управлять, вам не следует создавать одну группу AD для каждой функции, потому что вы столкнетесь с множеством проблем. когда билет Kerberos становится слишком большим.

Однако вы можете создать ограниченный набор ролей, которые будут управляться через группы AD (например, «Средства просмотра отчетов») и, в свою очередь, предоставят доступ к множеству функций (которые не нужно определять в AD).

Если у вас есть база данных, вы можете разрешить клиенту создавать свои собственные роли и управлять AD Group <-> Roles <-> Features отношения в вашей БД.