Мне нужно создать веб-сайт компании, доступ к которому будет осуществляться извне. Требуется, чтобы пользователи могли входить в систему с теми же учетными данными, что и доступ к сети компании (Active Directory). Сначала я думал об использовании ADFS, но мне кажется, что я не могу получить доступ к информации о других пользователях. Мне нужно иметь возможность составить список других пользователей, узнать, к каким группам они принадлежат, и т. Д. Также возможно, что у меня может возникнуть необходимость изменить информацию о пользователях на сервере.
У меня нет опыта работы с Active Directory. Является ли использование LDAP напрямую с пользовательской аутентификацией лучшей альтернативой? Какие-нибудь советы или исправления?
Службы федерации Active Directory (ADFS) в первую очередь связаны с проверкой подлинности. Это не метакаталог, и его нельзя использовать для возврата обобщенной информации из Active Directory.
Доступ к Active Directory через LDAP это, вероятно, направление, в котором вы хотите двигаться, поскольку оно позволяет вам запрашивать атрибуты учетных записей пользователей (и других объектов). Имейте в виду, что правильное взаимодействие со сложным лесом AD (особенно с Forest Trusts) - нетривиальная задача. Если вы разрабатываете приложение для внутреннего использования, которое всегда будет работать в однодоменной среде, вам не придется сталкиваться с такой сложностью. Однако, если вы собираетесь создать продукт для продажи, вам стоит немного узнать об Active Directory и ее сложных типах развертывания. (Я работал с большим количеством продуктов, которые заявляют об «интеграции LDAP с Active Directory», но обнаружил, что они разваливаются на части при работе с довольно распространенной конфигурацией, такой как многодоменная среда. Даже не заставляйте меня начинать про плохую поддержку многолесных сред ...)